Apples Certificate Transparency-policy

Läs om efterlevnaden av Apples Certificate Transparency-policy.

Offentligt betrodda TLS (Transport Layer Security) serverautentiseringscertifikat måste uppfylla Apples Certificate Transparency-policy (CT) för att anses som betrodda på Apples plattformar.

Certifikat som inte uppfyller våra riktlinjer resulterar i en misslyckad TLS-anslutning, som kan avbryta en apps anslutning till internettjänster eller Safaris möjligheter till smidiga anslutningar.

Policykrav

Enligt Apples policy måste minst två SCT (Signed Certificate Timestamps) utfärdas från en CT-logg – en gång godkänd1 eller godkänd vid tidpunkten för kontrollen2 – och antingen:

  • Minst två SCT:er från nuvarande godkända CT-loggar med en SCT presenterad via TLS-tillägg eller OCSP Stapling; eller

  • Minst en inbäddad SCT från en nuvarande godkänd logg och minst antal SCT:er från en gång tidigare eller nuvarande godkända loggar, baserat på giltighetsperiod som beskrivs i tabellen nedan.

För certifikat med ett notBefore-värde som är större eller lika med 21 April 2021 (2021-04-21T00:00:00Z) baseras antalet inbäddade SCT:er på certifikatslivstid3:

Certifikatslivstid

antal SCT:er från separata loggar

Maximalt antal SCT:er per loggoperatör, vilket räknas in i SCT-kravet

180 dagar eller färre

2

1

181 till 398 dagar

3

2

För certifikat med ett notBefore-värde som är mindre än eller lika med 21 April 2021 (2021-04-21T00:00:00Z) baseras antalet inbäddade SCT:er på certifikatslivstid:

Certifikatslivstid

antal SCT:er från separata loggar

Mindre än 15 månader

2

15 till 27 månader

3

27 till 39 månader

4

Mer än 39 månader

5

För certifikat med ett notBefore-värde som är lika med eller större än 20210421T00:00:00Z KAN loggoperatörer avvisa lövcertifikat som inte innehåller serverAuth EKU.

Loggoperatörer MÅSTE skicka skriftlig information om ändringar av den accepterade uppsättningen lövvertifikat som deras logg accepterar minst 45 dagar i förväg till certificate-transparency-program@group.apple.com.

CT-loggar

Hämta den nuvarande CT-logglistan och CT-logglistchemat i JSON-format.

1. För att anses vara ”en gång godkänd” måste tidsstämpeln i SCT:n ha utfärdats från en CT-logg med statusen ”Kvalificerad” eller ”Användbar” vid tidpunkten för utfärdandet av SCT:n.
2. Definitioner av CT-loggstatus finns i Apples Certificate Transparency-loggprogram:https://support.apple.com/sv-se/HT209255
3. Ett certifikats giltighetsperiod (eller livstid) definieras i enlighet med RFC 5280, avsnitt 4.1.2.5, som ”tidsperioden från notBefore till notAfter, inklusive”.
a. Giltighetsperioden mäts genom att en dag motsvarar 86 400 sekunder. Alla tidsperioder som är längre än det här anger en ytterligare giltighetsdag.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: