Krav för betrodda certifikat i iOS 13 och macOS 10.15

Läs om nya säkerhetskrav för TLS-servercertifikat i iOS 13 och macOS 10.15.

Alla TLS-servercertifikat måste uppfylla de nya säkerhetskraven i iOS 13 och macOS 10.15:

  • TLS-servercertifikat och certifikatutfärdare som använder RSA-nycklar måste använda nycklar som är större än eller lika med 2 048 bitar. Certifikat som använder mindre RSA-nycklar än 2 048 bitar är inte längre betrodda för TLS.
  • TLS-servercertifikat och certifikatutfärdare måste använda en hashalgoritm från SHA-2-serien i signaturalgoritmen. SHA-1-signerade certifikat är inte längre betrodda för TLS.
  • TLS-servercertifikat måste uppvisa DNS-namnet på servern i certifikatets Alternativt ämnesnamn-tillägg. DNS-namn i ett certifikats CommonName är inte längre betrodda.

Alla TLS-servercertifikat som utfärdats efter 1 juli 2019 (enligt fältet NotBefore i certifikatet) måste dessutom följa de här riktlinjerna:

  • TLS-servercertifikat måste innehålla ett EKU-tillägg (ExtendedKeyUsage) som innehåller OID för id-kp-serverAuth.
  • TLS-servercertifikat måste ha en giltighetsperiod på högst 825 dagar (enligt fälten NotBefore och NotAfter i certifikatet).

Anslutningar till TLS-servrar som inte uppfyller dessa krav kommer inte att fungera och kan orsaka fel på nätverk, fel på appar och fel vid inläsning av webbplatser i Safari i iOS 13 och macOS 10.15.

Publiceringsdatum: