Apple 的憑證透明度政策
瞭解如何遵循 Apple 的憑證透明度政策。
公開信任傳輸層安全性(TLS)伺服器認證憑證必須符合 Apple 的憑證透明度(CT)政策,才能在 Apple 平台上被評估為受信任憑證。
未能符合 Apple 政策規定的憑證將無法建立 TLS 連線,進而導致 App 無法連線至網際網路服務,或 Safari 無法順暢連線。
政策規定
Apple 政策規定,必須有至少兩個由曾獲核准1,或在檢查時已獲核准1 的 CT 記錄所核發的簽署憑證時間戳記(SCT),以及下列任一項:
至少兩個來自目前已核准的 CT 記錄的 SCT,其中一個 SCT 是透過 TLS 延伸或 OCSP Stapling 提出;或是
至少一個來自目前已核准記錄的內嵌 SCT,以及至少數個來自曾獲核准或目前已核准記錄的 SCT,實際數量視下方表格所列的有效期限而定。
至少一個 SCT 必須由符合 RFC 6962 的記錄所核發。
所需的內嵌 SCT 數量是根據憑證期限2:
憑證期限 | 來自不同記錄的 SCT 數量 | 每個記錄作業員的最大 SCT 數量(計入 SCT 要求) |
|---|---|---|
180 天以下 | 2 | 1 |
181 至 398 天 | 3 | 2 |
CT 記錄
下載目前 CT 記錄列表和 JSON 格式的 CT 記錄列表結構。
如需了解 CT 記錄狀態的定義,請參閱 Apple 的憑證透明度記錄計劃:https://support.apple.com/103703
憑證的有效期限(或期限)係依據 RFC 5280 第 4.1.2.5 項中「從『不早於』到『不晚於』的時間範圍」所定義。
有效期限是以一天等於 86,400 秒的方式計算。大於此數值的任何時間皆代表有效期多加一天。
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。