Apple 的憑證透明度政策

了解如何遵守 Apple 的憑證透明度政策。

2018 年 10 月 15 日後發出並獲公開認可的「傳輸層安全協議」(TLS) 伺服器認證憑證,必須符合 Apple 的「憑證透明度」(CT) 政策才能通過評估,成為 Apple 平台信任的憑證。過往只要有獲公開認可的「擴充驗證」(EV) TLS 伺服器認證憑證,即符合 CT 政策。

不符合 Apple 政策的憑證將無法進行 TLS 連線,導致 app 無法連接互聯網服務或 Safari 連接不暢順。 

政策要求

Apple 的政策要求至少兩個由 CT 記錄 (一經核准* 或在檢查時屬現時獲准的記錄) 發出的「已簽署憑證時間戳記」(SCT),並須符合以下一項條件:

  • 至少兩個由現時獲准的 CT 記錄發出的 SCT,其中一個 SCT 經由 TLS 擴充或 OCSP 裝訂展示;或
  • 至少一個由現時獲准的記錄發出的嵌入式 SCT,並達到一經核准或現時獲准記錄的 SCT 數目下限 (視乎以下表格詳列的有效期而定)。

嵌入式 SCT 數目 (視乎憑證有效期):

憑證有效期 由記錄單獨發出的 SCT 數目
少於 15 個月 2
15 至 27 個月 3
27 至 39 個月 4
39 個月以上 5

*「一經核准」的定義:SCT 中的時戳必須由 CT 記錄發出,而該 CT 記錄在 SCT 發出時已列入獲核准的 CT 記錄列表。

CT 記錄

發佈日期: