ข้อกำหนดสำหรับใบรับรองที่น่าเชื่อถือใน iOS 13 และ macOS 10.15

ดูข้อมูลเกี่ยวกับข้อกำหนดด้านความปลอดภัยใหม่สำหรับใบรับรองเซิร์ฟเวอร์ TLS ใน iOS 13 และ macOS 10.15

ใบรับรองเซิร์ฟเวอร์ TLS ทั้งหมดจะต้องเป็นไปตามข้อกำหนดด้านความปลอดภัยใหม่เหล่านี้ใน iOS 13 และ macOS 10.15

  • ใบรับรองเซิร์ฟเวอร์ TLS และการออก CA โดยใช้คีย์ RSA ต้องใช้ขนาดของคีย์มากกว่าหรือเท่ากับ 2048 บิต ใบรับรองที่ใช้ขนาดคีย์ RSA ที่เล็กกว่า 2048 บิตจะไม่น่าเชื่อถือสำหรับ TLS อีกต่อไป
  • ใบรับรองเซิร์ฟเวอร์ TLS และ CA ที่ออกจะต้องใช้อัลกอริทึมแฮชจากตระกูล SHA-2 ในอัลกอริธึมลายเซ็น ใบรับรองที่ลงชื่อด้วย SHA-1 ไม่น่าเชื่อถือสำหรับ TLS อีกต่อไป
  • ใบรับรองเซิร์ฟเวอร์ TLS จะต้องแสดงชื่อ DNS ของเซิร์ฟเวอร์ในส่วนขยาย Subject Alternative Name ของใบรับรอง ชื่อ DNS ใน CommonName ของใบรับรองไม่สามารถเชื่อถือได้อีกต่อไป

นอกจากนี้ ใบรับรองเซิร์ฟเวอร์ TLS ทั้งหมดที่ออกให้หลังจากวันที่ 1 กรกฎาคม 2019 (ตามที่ระบุในฟิลด์ช่อง NotBefore ของใบรับรอง) ต้องเป็นไปตามแนวทางเหล่านี้

  • ใบรับรองเซิร์ฟเวอร์ TLS จะต้องมีส่วนขยาย ExtendedKeyUsage (EKU) ที่มี id-kp-serverAuth OID
  • ใบรับรองเซิร์ฟเวอร์ TLS จะต้องมีช่วงเวลาที่มีผลบังคับใช้ 825 วันหรือน้อยกว่า (ดังที่แสดงในช่อง NotBefore และ NotAfter ของใบรับรอง)

การเชื่อมต่อกับเซิร์ฟเวอร์ TLS ที่ละเมิดข้อกำหนดใหม่เหล่านี้จะล้มเหลวและอาจทำให้เครือข่ายล้มเหลว แอพใช้งานไม่ได้ และเว็บไซต์ไม่สามารถโหลดได้ใน Safari ใน iOS 13 และ macOS 10.15

วันที่เผยแพร่: