Apple 的憑證透明度政策
了解如何遵守 Apple 的憑證透明度政策。
獲公開認可的「傳輸層安全協議」(TLS) 伺服器認證憑證,必須符合 Apple 的「憑證透明度」(CT) 政策才能通過評估,成為 Apple 平台信任的憑證。
不符合 Apple 政策的憑證將無法進行 TLS 連線,導致 app 無法連接互聯網服務或 Safari 連接不暢順。
政策要求
Apple 的政策要求至少兩個由 CT 記錄 (一經核准1或在檢查時屬現時獲准2的記錄) 發出的「已簽署憑證時間戳記」(SCT),並須符合以下一項條件:
至少兩個由現時獲准的 CT 記錄發出的 SCT,其中一個 SCT 經由 TLS 擴充或 OCSP 裝訂展示;或
至少一個由現時獲准的記錄發出的嵌入式 SCT,並達到一經核准或現時獲准記錄所發出的 SCT 數目下限 (視乎以下表格詳列的有效期而定)。
如果憑證的 notBefore 數值大於或等於 2021 年 4 月 21 日 (2021-04-21T00:00:00Z),根據憑證有效期所需的嵌入式 SCT 數目為3:
憑證有效期 | 由個別記錄發出的 SCT 數目 | 每個記錄操作員可計入 SCT 要求的 SCT 數目上限 |
|---|---|---|
180 日或以下 | 2 | 1 |
181 至 398 日 | 3 | 2 |
如果憑證的 notBefore 數值小於 2021 年 4 月 21 日 (2021-04-21T00:00:00Z),根據憑證有效期所需的嵌入式 SCT 數目為:
憑證有效期 | 由個別記錄發出的 SCT 數目 |
|---|---|
少於 15 個月 | 2 |
15 至 27 個月 | 3 |
27 至 39 個月 | 4 |
39 個月以上 | 5 |
如果憑證的 notBefore 數值等於或大於 20210421T00:00:00Z,記錄操作員或會拒絕接受沒有 serverAuth EKU 的分葉憑證。
就著已界定為可接受的分葉憑證,如果記錄對是否接受憑證有所變動,記錄操作員必須提前最少 45 日向 certificate-transparency-program@group.apple.com 發出書面通知。
CT 記錄
以 JSON 格式下載目前的 CT 記錄列表和 CT 記錄列表架構。
對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商。