Вимоги до довірених сертифікатів у iOS 13 і macOS 10.15

Дізнайтеся про нові вимоги безпеки для сертифікатів сервера TLS в iOS 13 і macOS 10.15.

Усі сертифікати сервера TLS мають відповідати наведеним далі новим вимогам безпеки в iOS 13 і macOS 10.15.

• Сертифікати сервера TLS і центри сертифікації, які їх видають і які використовують ключі RSA, мають використовувати ключі розміром 2048 біт або більше. Сертифікати, які використовують ключі RSA розміром менше ніж 2048 біт, уже не вважаються довіреними для сервера TLS.

• Сертифікати сервера TLS і центри сертифікації, які їх видають, мають використовувати алгоритм хешування із сімейства SHA-2 для створення цифрового підпису. Підписані сертифікати SHA-1 більше не є довіреними для сервера TLS.

• Сертифікати сервера TLS мають містити ім’я сервера DNS із використанням розширення Subject Alternative Name сертифіката. Імена DNS із використанням поля CommonName у сертифікаті більше не є довіреними.

Крім того, усі сертифікати сервера TLS, видані після 1 липня 2019 року (як зазначено в полі NotBefore у сертифікаті), мають відповідати наведеним далі правилам.

• Сертифікати сервера TLS мають включати розширення ExtendedKeyUsage (EKU), що містить ідентифікатор об’єкта id-kp-serverAuth.

• Термін дії сертифікатів сервера TLS має становити 825 днів або менше (як зазначено в полях NotBefore і NotAfter у сертифікаті).

З’єднання із серверами TLS, які порушують ці нові вимоги, будуть неможливі й можуть призвести до збоїв у мережі, помилок у програмах і неможливості завантажувати вебсайти в браузері Safari в iOS 13 і macOS 10.15.