นโยบาย Certificate Transparency ของ Apple
ดูวิธีปฏิบัติตามนโยบาย Certificate Transparency ของ Apple
ใบรับรองการตรวจสอบสิทธิ์เซิร์ฟเวอร์ Transport Layer Security (TLS) แบบ Publicly-trusted จะต้องเป็นไปตามนโยบาย Certificate Transparency (CT) ของ Apple จึงจะได้รับการประเมินว่าน่าเชื่อถือบนแพลตฟอร์มของ Apple
หากใบรับรองไม่เป็นไปตามนโยบายของเราจะส่งผลให้การเชื่อมต่อ TLS ล้มเหลว ซึ่งอาจทำให้แอปไม่สามารถเชื่อมต่อกับบริการอินเทอร์เน็ตได้ หรือทำให้การเชื่อมต่อของ Safari เกิดอาการติดขัด
ข้อกำหนดของนโยบาย
นโยบายของ Apple กำหนดให้ต้องมีการออก Signed Certificate Timestamps (SCT) อย่างน้อยสองรายการจากล็อก CT ซึ่งได้รับอนุมัติไปแล้วหนึ่งครั้ง122 ณ เวลาที่ตรวจสอบ พร้อมกับอย่างใดอย่างหนึ่งต่อไปนี้
SCT อย่างน้อยสองรายการจากล็อก CT ที่ได้รับอนุมัติอยู่ในขณะนั้น โดย SCT หนึ่งจะต้องแสดงผ่านส่วนขยาย TLS หรือ OCSP Stapling หรือ
SCT แบบฝังอย่างน้อยหนึ่งรายการจากล็อกที่ได้รับอนุมัติอยู่ในขณะนั้น และ SCT อีกอย่างน้อยจำนวนหนึ่งจากล็อกที่ได้รับอนุมัติไปแล้วหนึ่งครั้งหรือได้รับอนุมัติอยู่ในขณะนั้น โดยอิงจากอายุการใช้งานตามที่ระบุไว้ในตารางด้านล่างนี้
สำหรับใบรับรองที่มีค่า notBefore มากกว่าหรือเท่ากับ 21 เมษายน 2021 (2021-04-21-21T00:00:3Z) จำนวน SCT ที่ฝังไว้ตามอายุการใช้งานใบรับรอง3:
อายุการใช้งานของใบรับรอง | จำนวน SCT จากล็อกแบบแยกต่างหาก | SCT สูงสุดต่อตัวดำเนินการบันทึกซึ่งนับรวมในข้อกำหนด SCT |
---|---|---|
180 วันหรือน้อยกว่า | 2 | 1 |
181 ถึง 398 วัน | 3 | 2 |
สำหรับใบรับรองที่มีค่า notBefore น้อยกว่า 21 เมษายน 2021 (2021-04-21T00:00:00Z) จำนวน SCT ที่ฝังตามอายุการใช้งานใบรับรอง:
อายุการใช้งานของใบรับรอง | จำนวน SCT จากล็อกแบบแยกต่างหาก |
---|---|
น้อยกว่า 15 เดือน | 2 |
15 ถึง 27 เดือน | 3 |
27 ถึง 39 เดือน | 4 |
มากกว่า 39 เดือน | 5 |
สำหรับใบรับรองที่มีค่า notBefore เท่ากับหรือมากกว่า 20210421T00:00:00Z ตัวดำเนินการบันทึกอาจปฏิเสธใบรับรองใบที่ไม่มี serverAuth EKU
ตัวดำเนินการบันทึกต้องแจ้งเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อย 45 วันต่อ certificate-transparency-program@group.apple.com เกี่ยวกับการเปลี่ยนแปลงใดๆ ในชุดใบรับรองระดับลีฟที่ยอมรับแล้วโดยบันทึกของพวกเขา
ล็อก CT
ดาวน์โหลดรายการล็อก CT ปัจจุบันและแบบแผนรายการล็อก CT ในรูปแบบ JSON
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม