Apple 的憑證透明度政策

了解如何遵守 Apple 的憑證透明度政策。

獲公開認可的「傳輸層安全協議」(TLS) 伺服器認證憑證,必須符合 Apple 的「憑證透明度」(CT) 政策才能通過評估,成為 Apple 平台信任的憑證。

不符合 Apple 政策的憑證將無法進行 TLS 連線,導致 app 無法連接互聯網服務或 Safari 連接不暢順。 

政策要求

Apple 的政策要求至少兩個由 CT 記錄 (一經核准1或在檢查時屬現時獲准2的記錄) 發出的「已簽署憑證時間戳記」(SCT),並須符合以下一項條件:

  • 至少兩個由現時獲准的 CT 記錄發出的 SCT,其中一個 SCT 經由 TLS 擴充或 OCSP 裝訂展示;或
  • 至少一個由現時獲准的記錄發出的嵌入式 SCT,並達到一經核准或現時獲准記錄所發出的 SCT 數目下限 (視乎以下表格詳列的有效期而定)。

如果憑證的 notBefore 數值大於或等於 2021 年 4 月 21 日 (2021-04-21T00:00:00Z),根據憑證有效期所需的嵌入式 SCT 數目為3

憑證有效期 由個別記錄發出的 SCT 數目 每個記錄操作員可計入 SCT 要求的 SCT 數目上限
180 日或以下 2 1
181 至 398 日 3 2

如果憑證的 notBefore 數值小於 2021 年 4 月 21 日 (2021-04-21T00:00:00Z),根據憑證有效期所需的嵌入式 SCT 數目為:

憑證有效期 由個別記錄發出的 SCT 數目
少於 15 個月 2
15 至 27 個月 3
27 至 39 個月 4
39 個月以上 5

如果憑證的 notBefore 數值等於或大於 20210421T00:00:00Z,記錄操作員或會拒絕接受沒有 serverAuth EKU 的分葉憑證。 

就著已界定為可接受的分葉憑證,如果記錄對是否接受憑證有所變動,記錄操作員必須提前最少 45 日向 certificate-transparency-program@group.apple.com 發出書面通知。

CT 記錄

1. 要被視為「一經核准」,SCT 的時間戳記必須是由在發出 SCT 時是處於「符合資格」或「可用」狀態的 CT 記錄發出。

2. 想了解 CT 記錄狀態的定義,請參閱 Apple 的「憑證透明度記錄計劃」:https://support.apple.com/zh-hk/HT209255

3. 根據 RFC 5280 第 4.1.2.5 節的規定,憑證有效期定義為「從 notBefore 到 notAfter 的這段時間,首尾包括在內」。

a. 有效期以一日等於 86,400 秒計算。只要超出這個時間,即屬有效期的另一天。

 

對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商

發佈日期: