iOS 13 和 macOS 10.15 中受信任憑證的規定

瞭解 iOS 13 和 macOS 10.15 中 TLS 伺服器憑證的新安全規定。

在 iOS 13 和 macOS 10.15 中，所有 TLS 伺服器憑證都必須符合下列新的安全規定：

• 使用 RSA 密鑰的 TLS 伺服器憑證和簽發 CA 必須使用大於或等於 2048 位元的密鑰。TLS 不再信任 RSA 密鑰小於 2048 位元的憑證。

• TLS 伺服器憑證和簽發 CA 必須使用簽名演算法中 SHA-2 系列的雜湊演算法。TLS 不再信任 SHA-1 簽署的憑證。

• TLS 伺服器憑證必須在憑證的持有人替用名稱延伸功能中顯示伺服器的 DNS 名稱。不再信任憑證 CommonName 中的 DNS 名稱。

此外，2019 年 7 月 1 日之後簽發的所有 TLS 伺服器憑證（如憑證的 NotBefore 欄位所示）都必須遵循下列準則：

• TLS 伺服器憑證必須包含具有 id-kp-serverAuth OID 的 ExtendedKeyUsage（EKU）延伸功能。

• TLS 伺服器憑證的有效期限不得超過 825 天（如憑證的 NotBefore 和 NotAfter 欄位所示）。

在 iOS 13 和 macOS 10.15 中，若違反這些新規定，連線至 TLS 伺服器將會失敗，並可能導致網路故障、app 故障，且無法在 Safari 載入網站。