Apple 的证书透明度政策
了解怎样才能符合 Apple 的证书透明度政策。
公开可信的传输层安全 (TLS) 服务器认证证书必须符合 Apple 的证书透明度 (CT) 政策,才能在 Apple 平台上被评估为受信任。
如果证书不符合我们的政策,将导致 TLS 连接失败,这可能会导致 App 与互联网服务的连接断开,或导致 Safari 浏览器无法实现无缝连接。
政策要求
Apple 的政策要求至少有两个由 CT 日志(曾获批准1 或检查当时已获批准1)发放的已签名证书时间戳 (SCT),并且符合以下任一情况:
至少有两个由当时已获批准的 CT 日志发放的 SCT,且其中一个 SCT 通过 TLS 扩展或 OCSP 封套呈现;或者
基于下表中详述的有效期,至少有一个由当时已获批准的日志发放的嵌入式 SCT,且由曾获批准或当时已获批准的日志发放的 SCT 数量至少满足表中的数量。
至少有一个 SCT 必须由符合 RFC 6962 规定的日志发放。
所需的嵌入式 SCT 数量取决于证书生命周期2:
证书生命周期 | 由不同日志发放的 SCT 数量 | 每个日志操作员的最大 SCT 数量,它会计入 SCT 要求之内 |
|---|---|---|
小于或等于 180 天 | 2 | 1 |
181 到 398 天 | 3 | 2 |
CT 日志
以 JSON 格式下载最新 CT 日志列表和 CT 日志列表架构。
有关 CT 日志状态的定义,请参考“Apple 证书透明度日志计划”:https://support.apple.com/103703
根据 RFC 5280 第 4.1.2.5 节的规定,证书有效期(或生命周期)的定义是“从有效期起始日期开始到有效期截止日期结束(包括这两天在内)的这段时间”。
在进行有效期计时期间,一天按 86,400 秒计算。只要超出这个秒数即表示有效日增加一天。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。