ข้อกำหนดสำหรับใบรับรองที่เชื่อถือได้ใน iOS 13 และ macOS 10.15

ดูข้อมูลเกี่ยวกับข้อกำหนดด้านความปลอดภัยใหม่สำหรับใบรับรองเซิร์ฟเวอร์ TLS ใน iOS 13 และ macOS 10.15

ใบรับรองเซิร์ฟเวอร์ TLS ทั้งหมดจะต้องเป็นไปตามข้อกำหนดด้านความปลอดภัยใหม่เหล่านี้ใน iOS 13 และ macOS 10.15

  • ใบรับรองเซิร์ฟเวอร์ TLS และ CA ที่ออกโดยใช้คีย์ RSA ต้องใช้ขนาดของคีย์มากกว่าหรือเท่ากับ 2048 บิต ใบรับรองที่ใช้ขนาดคีย์ RSA เล็กกว่า 2048 บิตไม่สามารถเชื่อถือได้สำหรับ TLS อีกต่อไป
  • ใบรับรองเซิร์ฟเวอร์ TLS และ CA ที่ออกจะต้องใช้อัลกอริทึมแฮชจากตระกูล SHA-2 ในอัลกอริทึมลายเซ็น ใบรับรองที่ลงชื่อด้วย SHA-1 ไม่สามารถเชื่อถือได้สำหรับ TLS อีกต่อไป
  • ใบรับรองเซิร์ฟเวอร์ TLS จะต้องแสดงชื่อ DNS ของเซิร์ฟเวอร์ในส่วนขยาย Subject Alternative Name ของใบรับรอง ชื่อ DNS ใน CommonName ของใบรับรองไม่สามารถเชื่อถือได้อีกต่อไป

นอกจากนี้ ใบรับรองเซิร์ฟเวอร์ TLS ทั้งหมดที่ออกให้หลังจากวันที่ 1 กรกฎาคม 2019 (ตามที่ระบุในช่อง NotBefore ของใบรับรอง) ต้องเป็นไปตามแนวทางเหล่านี้

  • ใบรับรองเซิร์ฟเวอร์ TLS จะต้องมีส่วนขยาย ExtendedKeyUsage (EKU) ที่มี id-kp-serverAuth OID
  • ใบรับรองเซิร์ฟเวอร์ TLS จะต้องมีช่วงเวลาที่มีผลบังคับใช้ 825 วันหรือน้อยกว่า (ดังที่แสดงในช่อง NotBefore และ NotAfter ของใบรับรอง)

การเชื่อมต่อกับเซิร์ฟเวอร์ TLS ที่ละเมิดข้อกำหนดใหม่เหล่านี้จะล้มเหลวและอาจทำให้เครือข่ายขัดข้อง แอพใช้งานไม่ได้ และเว็บไซต์ไม่สามารถโหลดได้ใน Safari ใน iOS 13 และ macOS 10.15

วันที่เผยแพร่: