ข้อกำหนดสำหรับใบรับรองที่เชื่อถือได้ใน iOS 13 และ macOS 10.15
ดูข้อมูลเกี่ยวกับข้อกำหนดด้านความปลอดภัยใหม่สำหรับใบรับรองเซิร์ฟเวอร์ TLS ใน iOS 13 และ macOS 10.15
ใบรับรองเซิร์ฟเวอร์ TLS ทั้งหมดจะต้องเป็นไปตามข้อกำหนดด้านความปลอดภัยใหม่เหล่านี้ใน iOS 13 และ macOS 10.15
ใบรับรองเซิร์ฟเวอร์ TLS และ CA ที่ออกโดยใช้คีย์ RSA ต้องใช้ขนาดของคีย์มากกว่าหรือเท่ากับ 2048 บิต ใบรับรองที่ใช้ขนาดคีย์ RSA เล็กกว่า 2048 บิตไม่สามารถเชื่อถือได้สำหรับ TLS อีกต่อไป
ใบรับรองเซิร์ฟเวอร์ TLS และ CA ที่ออกจะต้องใช้อัลกอริทึมแฮชจากตระกูล SHA-2 ในอัลกอริทึมลายเซ็น ใบรับรองที่ลงชื่อด้วย SHA-1 ไม่สามารถเชื่อถือได้สำหรับ TLS อีกต่อไป
ใบรับรองเซิร์ฟเวอร์ TLS จะต้องแสดงชื่อ DNS ของเซิร์ฟเวอร์ในส่วนขยาย Subject Alternative Name ของใบรับรอง ชื่อ DNS ใน CommonName ของใบรับรองไม่สามารถเชื่อถือได้อีกต่อไป
นอกจากนี้ ใบรับรองเซิร์ฟเวอร์ TLS ทั้งหมดที่ออกให้หลังจากวันที่ 1 กรกฎาคม 2019 (ตามที่ระบุในช่อง NotBefore ของใบรับรอง) ต้องเป็นไปตามแนวทางเหล่านี้
ใบรับรองเซิร์ฟเวอร์ TLS จะต้องมีส่วนขยาย ExtendedKeyUsage (EKU) ที่มี id-kp-serverAuth OID
ใบรับรองเซิร์ฟเวอร์ TLS จะต้องมีช่วงเวลาที่มีผลบังคับใช้ 825 วันหรือน้อยกว่า (ดังที่แสดงในช่อง NotBefore และ NotAfter ของใบรับรอง)
การเชื่อมต่อกับเซิร์ฟเวอร์ TLS ที่ละเมิดข้อกำหนดใหม่เหล่านี้จะล้มเหลวและอาจทำให้เครือข่ายขัดข้อง แอพใช้งานไม่ได้ และเว็บไซต์ไม่สามารถโหลดได้ใน Safari ใน iOS 13 และ macOS 10.15