Apple 的憑證透明度政策
了解如何遵守 Apple 的憑證透明度政策。
獲公開認可的「傳輸層安全協議」(TLS) 伺服器認證憑證,必須符合 Apple 的「憑證透明度」(CT) 政策才能通過評估,成為 Apple 平台信任的憑證。
不符合 Apple 政策的憑證將無法進行 TLS 連線,導致 app 無法連接互聯網服務或 Safari 連接不暢順。
政策要求
Apple 的政策要求至少兩個由 CT 記錄 (一經核准1或在檢查時屬現時獲准1的記錄) 發出的「已簽署憑證時間戳記」(SCT),並須符合以下一項條件:
至少兩個由現時獲准的 CT 記錄發出的 SCT,其中一個 SCT 經由 TLS 擴充或 OCSP 裝訂展示;或
至少一個由現時獲准的記錄發出的嵌入式 SCT,並達到一經核准或現時獲准記錄所發出的 SCT 數目下限 (視乎以下表格詳列的有效期而定)。
至少一個 SCT 必須由符合 RFC 6962 的記錄發出。
根據憑證有效期所需的嵌入式 SCT 數目為 2:
憑證有效期 | 由不同記錄發出的 SCT 數目 | 每個記錄操作員可計入 SCT 要求的 SCT 數目上限 |
---|---|---|
180 日或以下 | 2 | 1 |
181 至 398 日 | 3 | 2 |
CT 記錄
以 JSON 格式下載目前的 CT 記錄列表和 CT 記錄列表架構。
想了解 CT 記錄狀態的定義,請參閱 Apple 的「憑證透明度記錄計劃」: https://support.apple.com/103703
根據 RFC 5280 第 4.1.2.5 節的規定,憑證有效期定義為「從 notBefore 到 notAfter 的這段時間,首尾包括在內」。
有效期以一日等於 86,400 秒計算。只要超出這個時間,即屬有效期的另一天。
對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商。