นโยบาย Certificate Transparency ของ Apple

ดูวิธีปฏิบัติตามนโยบาย Certificate Transparency ของ Apple

ใบรับรองการตรวจสอบสิทธิ์เซิร์ฟเวอร์ Transport Layer Security (TLS) แบบ Publicly-trusted จะต้องเป็นไปตามนโยบาย Certificate Transparency (CT) ของ Apple จึงจะได้รับการประเมินว่าน่าเชื่อถือบนแพลตฟอร์มของ Apple

หากใบรับรองไม่เป็นไปตามนโยบายของเราจะส่งผลให้การเชื่อมต่อ TLS ล้มเหลว ซึ่งอาจทำให้แอปไม่สามารถเชื่อมต่อกับบริการอินเทอร์เน็ตได้ หรือทำให้การเชื่อมต่อของ Safari เกิดอาการติดขัด

ข้อกำหนดของนโยบาย

นโยบายของ Apple กำหนดให้ต้องมีการออก Signed Certificate Timestamps (SCT) อย่างน้อยสองรายการจากล็อก CT ซึ่งได้รับอนุมัติไปแล้วหนึ่งครั้ง122 ณ เวลาที่ตรวจสอบ พร้อมกับอย่างใดอย่างหนึ่งต่อไปนี้

  • SCT อย่างน้อยสองรายการจากล็อก CT ที่ได้รับอนุมัติอยู่ในขณะนั้น โดย SCT หนึ่งจะต้องแสดงผ่านส่วนขยาย TLS หรือ OCSP Stapling หรือ

  • SCT แบบฝังอย่างน้อยหนึ่งรายการจากล็อกที่ได้รับอนุมัติอยู่ในขณะนั้น และ SCT อีกอย่างน้อยจำนวนหนึ่งจากล็อกที่ได้รับอนุมัติไปแล้วหนึ่งครั้งหรือได้รับอนุมัติอยู่ในขณะนั้น โดยอิงจากอายุการใช้งานตามที่ระบุไว้ในตารางด้านล่างนี้

สำหรับใบรับรองที่มีค่า notBefore มากกว่าหรือเท่ากับ 21 เมษายน 2021 (2021-04-21-21T00:00:3Z) จำนวน SCT ที่ฝังไว้ตามอายุการใช้งานใบรับรอง3:

อายุการใช้งานของใบรับรอง

จำนวน SCT จากล็อกแบบแยกต่างหาก

SCT สูงสุดต่อตัวดำเนินการบันทึกซึ่งนับรวมในข้อกำหนด SCT

180 วันหรือน้อยกว่า

2

1

181 ถึง 398 วัน

3

2

สำหรับใบรับรองที่มีค่า notBefore น้อยกว่า 21 เมษายน 2021 (2021-04-21T00:00:00Z) จำนวน SCT ที่ฝังตามอายุการใช้งานใบรับรอง:

อายุการใช้งานของใบรับรอง

จำนวน SCT จากล็อกแบบแยกต่างหาก

น้อยกว่า 15 เดือน

2

15 ถึง 27 เดือน

3

27 ถึง 39 เดือน

4

มากกว่า 39 เดือน

5

สำหรับใบรับรองที่มีค่า notBefore เท่ากับหรือมากกว่า 20210421T00:00:00Z ตัวดำเนินการบันทึกอาจปฏิเสธใบรับรองใบที่ไม่มี serverAuth EKU

ตัวดำเนินการบันทึกต้องแจ้งเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย 45 วันต่อ certificate-transparency-program@group.apple.com เกี่ยวกับการเปลี่ยนแปลงใดๆ ในชุดใบรับรองระดับลีฟที่ยอมรับแล้วโดยบันทึกของพวกเขา

ล็อก CT

ดาวน์โหลดรายการล็อก CT ปัจจุบันและแบบแผนรายการล็อก CT ในรูปแบบ JSON

1. การประทับเวลาใน SCT จะต้องออกจากล็อก CT ที่มีสถานะ "มีคุณสมบัติ" หรือ "ใช้งานได้" ณ เวลาที่มีการออก SCT จึงจะถือว่า "ได้รับอนุมัติแล้วหนึ่งครั้ง"
2. สำหรับข้อกำหนดสถานะการบันทึก CT โปรดดูโปรแกรมบันทึกความโปร่งใสของใบรับรองของ Apple: https://support.apple.com/HT209255
3. ช่วงเวลาที่มีผลบังคับใช้ของใบรับรอง (หรืออายุการใช้งาน) ได้รับการนิยามตาม RFC 5280 มาตรตรา 4.1.2.5 ว่าหมายถึง "ช่วงเวลาตั้งแต่ notBefore ถึง notAfter ที่ครอบคลุมทั้งหมด"
ก. ช่วงเวลาที่มีผลบังคับใช้วัดตามเกณฑ์วันที่มีจำนวนวินาทีเท่ากับ 86,400 วินาที เวลาที่มากกว่านี้หมายถึงวันวันเพิ่มเติมจากช่วงเวลาที่มีผลบังคับใช้

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: