iOS 13 ve macOS 10.15'te güvenilir sertifikalara ilişkin gereksinimler

iOS 13 ve macOS 10.15'te TLS sunucu sertifikalarına ilişkin yeni güvenlik gereksinimleri hakkında bilgi edinin.

iOS 13 ve macOS 10.15'te bulunan tüm TLS sunucu sertifikaları aşağıdaki yeni güvenlik gereksinimlerine uymalıdır:

• RSA anahtarı kullanan TLS sunucu sertifikaları ve sertifika veren CA'ların kullandığı anahtarların boyutu 2048 bit veya daha yüksek olmalıdır. Kullandığı RSA anahtarı boyutu 2048 bit'ten düşük olan sertifikalara artık TLS için güvenilmemektedir.

• TLS sunucu sertifikaları ve sertifika veren CA'lar, imza algoritmasında SHA-2 ailesindeki bir özet algoritmasını kullanmalıdır. SHA-1 imzalı sertifikalara artık TLS için güvenilmemektedir.

• TLS sunucu sertifikaları, sertifikanın Öznenin Alternatif Adı uzantısında sunucunun DNS adını sunmalıdır. Sertifikanın CommonName alanındaki DNS adlarına artık güvenilmemektedir.

Ayrıca, 1 Temmuz 2019 tarihinden sonra verilen tüm TLS sunucu sertifikaları (sertifikanın NotBefore alanında belirtildiği şekilde) aşağıdaki yönergelere uymalıdır:

• TLS sunucu sertifikaları, id-kp-serverAuth OID bilgisinin yer aldığı bir ExtendedKeyUsage (EKU) uzantısı içermelidir.

• TLS sunucu sertifikalarının geçerlilik süresi 825 gün veya daha kısa (sertifikanın NotBefore ve NotAfter alanlarında belirtildiği şekilde) olmalıdır.

Bu yeni gereksinimleri ihlal eden TLS sunucularıyla kurulan bağlantılar başarısız olur ve iOS 13 ile macOS 10.15'te ağ hatalarına, uygulamaların başarısız olmasına ve Safari'de web sitelerinin yüklenmemesine yol açabilir.