Apple 的憑證透明度政策

了解如何遵守 Apple 的憑證透明度政策。

獲公開認可的「傳輸層安全協議」(TLS) 伺服器認證憑證,必須符合 Apple 的「憑證透明度」(CT) 政策才能通過評估,成為 Apple 平台信任的憑證。

不符合 Apple 政策的憑證將無法進行 TLS 連線,導致 app 無法連接互聯網服務或 Safari 連接不暢順。

政策要求

Apple 的政策要求至少兩個由 CT 記錄 (一經核准1或在檢查時屬現時獲准1的記錄) 發出的「已簽署憑證時間戳記」(SCT),並須符合以下一項條件:

  • 至少兩個由現時獲准的 CT 記錄發出的 SCT,其中一個 SCT 經由 TLS 擴充或 OCSP 裝訂展示;或

  • 至少一個由現時獲准的記錄發出的嵌入式 SCT,並達到一經核准或現時獲准記錄所發出的 SCT 數目下限 (視乎以下表格詳列的有效期而定)。

至少一個 SCT 必須由符合 RFC 6962 的記錄發出。

根據憑證有效期所需的嵌入式 SCT 數目為 2

憑證有效期

由不同記錄發出的 SCT 數目

每個記錄操作員可計入 SCT 要求的 SCT 數目上限

180 日或以下

2

1

181 至 398 日

3

2

CT 記錄

以 JSON 格式下載目前的 CT 記錄列表CT 記錄列表架構

  1. 想了解 CT 記錄狀態的定義,請參閱 Apple 的「憑證透明度記錄計劃」: https://support.apple.com/103703

  2. 根據 RFC 5280 第 4.1.2.5 節的規定,憑證有效期定義為「從 notBefore 到 notAfter 的這段時間,首尾包括在內」。

    1. 有效期以一日等於 86,400 秒計算。只要超出這個時間,即屬有效期的另一天。

對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商

發佈日期: