Verejne dôveryhodné certifikáty overovania servera TLS (Transport Layer Security) musia byť v súlade s politikou transparentnosti certifikátov spoločnosti Apple, aby sa na platformách Apple považovali za dôveryhodné.
V prípade certifikátov, ktoré našej politike nezodpovedajú, bude spojenie TLS neúspešné, čo môže mať za následok prerušenie pripojenia apky k internetovým službám alebo bezproblémového pripojenia prehliadača Safari.
Požiadavky politiky
Politika spoločnosti Apple vyžaduje minimálne dve podpísané časové značky certifikátu vydané z protokolu transparentnosti certifikátu, ktoré sú už raz schválené1 alebo ktoré sú aktuálne schválené2 v čase kontroly, a splnenie jednej z nasledujúcich podmienok:
- Minimálne dve podpísané časové značky certifikátu z aktuálne schválených protokolov transparentnosti certifikátu, pričom jedna podpísaná časová značka certifikátu je poskytnutá prostredníctvom rozšírenia TLS alebo technológie OCSP Stapling.
- Minimálne jedna vložená podpísaná časová značka certifikátu z aktuálne schváleného protokolu a minimálne požadovaný počet podpísaných časových značiek certifikátu z raz schválených alebo aktuálne schválených protokolov v závislosti od obdobia platnosti, ktoré je podrobne uvedené v nasledujúcej tabuľke.
V prípade certifikátov s hodnotou notBefore rovnou alebo vyššou ako 21. apríla 2021 (2021-04-21T00:00:00Z): počet vložených podpísaných časových značiek certifikátu v závislosti od životnosti certifikátu3:
| Životnosť certifikátu | Počet podpísaných časových značiek certifikátu zo samostatných protokolov | Maximálny počet podpísaných časových značiek certifikátu na obsluhu protokolu, ktoré sa započítavajú do požiadavky na podpísané časové značky certifikátu |
|---|---|---|
| 180 dní alebo menej | 2 | 1 |
| 181 až 398 dní | 3 | 2 |
V prípade certifikátov s hodnotou notBefore nižšou ako 21. apríla 2021 (2021-04-21T00:00:00Z): počet vložených podpísaných časových značiek certifikátu v závislosti od životnosti certifikátu:
| Životnosť certifikátu | Počet podpísaných časových značiek certifikátu zo samostatných protokolov |
|---|---|
| Menej ako 15 mesiacov | 2 |
| 15 až 27 mesiacov | 3 |
| 27 až 39 mesiacov | 4 |
| Viac ako 39 mesiacov | 5 |
V prípade certifikátov s hodnotou notBefore rovnou alebo vyššou ako 20210421T00:00:00Z obsluha protokolov SMIE odmietnuť listové certifikáty, ktoré neobsahujú EKU pre serverAuth.
Obsluha protokolov MUSÍ na adresu certificate-transparency-program@group.apple.com poslať písomné oznámenie o akýchkoľvek zmenách prijatej sady listových certifikátov, ktoré jej protokoly akceptujú, s predstihom najmenej 45 dní.
Protokoly transparentnosti certifikátu
Stiahnite si aktuálny zoznam protokolov transparentnosti certifikátu a jeho schému vo formáte JSON.
1. Na to, aby sa časová značka v podpísanej časovej značke certifikátu považovala za „už raz schválenú“, musí byť v čase vydania podpísanej časovej značky certifikátu vystavená z protokolu transparentnosti certifikátov so stavom „vyhovujúci“ alebo „použiteľný“.
2. Definície stavov protokolu transparentnosti certifikátov nájdete v programe protokolu transparentnosti certifikátov spoločnosti Apple: https://support.apple.com/sk-sk/HT209255
3. Obdobie platnosti (životnosť) certifikátu je definované v súlade so špecifikáciou RFC 5280, oddiel 4.1.2.5, ako „časové obdobie od hodnoty notBefore do hodnoty notAfter vrátane oboch týchto hodnôt“.
a. Obdobie platnosti sa meria tak, že deň zodpovedá 86 400 sekundám. Akýkoľvek čas dlhší ako tento znamená ďalší deň platnosti.