iOS 13 與 macOS 10.15 的受信任憑證要求

了解 iOS 13 及 macOS 10.15 對 TLS 伺服器憑證的最新安全要求。

所有 TLS 伺服器憑證均需符合以下 iOS 13 及 macOS 10.15 的最新安全要求:

  • TLS 伺服器憑證及 RSA 密鑰發行的 CA,必需使用等如或大於 2048 位元的密鑰。使用少於 2048 位元 RSA 密鑰的憑證不再受 TLS 信任。
  • TLS 伺服器憑證及發行 CA 時必需使用簽名演算法中 SHA-2 系列的雜湊演算法。SHA-1 簽署的憑證不再受 TLS 信任。
  • TLS 伺服器憑證必需包含憑證的「持有人替用名稱」延伸功能中的伺服器 DNS 名稱。憑證 CommonName 中的 DNS 名稱不再受信任。

此外,2019 年 7 月 1 日後發行的所有 TLS 伺服器憑證 (憑證的 NotBefore 欄位中已註明) 均需符合以下指引:

  • TLS 伺服器憑證必需包括內含 id-kp-serverAuth OID 的 ExtendedKeyUsage (EKU) 延伸功能。
  • TLS 伺服器憑證的有效時間必需在 825 日內 (憑證的 NotBefore 和 NotAfter 欄位中已註明)。

連接違反上述新要求的 TLS 伺服器除了會出現錯誤外,還可能會導致 app 無法正常運作,而 iOS 13 和 macOS 10.15 的 Safari 亦可能無法載入相關網站。

發佈日期: