Apple 的憑證透明度政策
瞭解如何遵循 Apple 的憑證透明度政策。
公開信任傳輸層安全性(TLS)伺服器認證憑證必須符合 Apple 的憑證透明度(CT)政策,才能在 Apple 平台上被評估為受信任憑證。
未能符合 Apple 政策規定的憑證將無法建立 TLS 連線,進而導致 App 無法連線至網際網路服務,或 Safari 無法順暢連線。
政策規定
Apple 政策規定,必須有至少兩個由曾獲核准1或在檢查時已獲核准2的 CT 記錄所核發的簽署憑證時間戳記(SCT),以及下列任一項:
至少兩個來自目前已核准的 CT 記錄的 SCT,其中一個 SCT 是透過 TLS 延伸或 OCSP Stapling 提出;或是
至少一個來自目前已核准記錄的內嵌 SCT,以及至少數個來自曾獲核准或目前已核准記錄的 SCT,實際數量視下方表格所列的有效期限而定。
若憑證的「不早於」值大於或等於 2021 年 4 月 21 日(2021-04-21T00:00:00Z),以憑證期限3為基準的內嵌 SCT 數量如下:
憑證期限 | 來自不同記錄的 SCT 數量 | 每個記錄作業員的最大 SCT 數量(計入 SCT 要求) |
|---|---|---|
180 天以下 | 2 | 1 |
181 至 398 天 | 3 | 2 |
若憑證的「不早於」值小於 2021 年 4 月 21 日(2021-04-21T00:00:00Z),以憑證期限為基準的內嵌 SCT 數量如下:
憑證期限 | 來自不同記錄的 SCT 數量 |
|---|---|
不到 15 個月 | 2 |
15 到 27 個月 | 3 |
27 到 39 個月 | 4 |
超過 39 個月 | 5 |
若憑證的「不早於」值等於或大於 20210421T00:00:00Z,記錄作業員可以拒絕不包含 serverAuth EKU 的分葉憑證。
若其記錄所接受的分葉憑證組有任何變更,記錄作業員須於至少 45 天前向 certificate-transparency-program@group.apple.com 提供書面通知。
CT 記錄
下載目前 CT 記錄列表和 JSON 格式的 CT 記錄列表結構。
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。