iOS 13 和 macOS 10.15 中受信任憑證的規定

瞭解 iOS 13 和 macOS 10.15 中 TLS 伺服器憑證的新安全規定。

在 iOS 13 和 macOS 10.15 中,所有 TLS 伺服器憑證都必須符合下列新的安全規定:

  • 使用 RSA 密鑰的 TLS 伺服器憑證和發證 CA 必須使用大於或等於 2048 位元的密鑰。TLS 不再信任 RSA 密鑰小於 2048 位元的憑證。
  • TLS 伺服器憑證和發證 CA 必須使用簽章演算法中 SHA-2 系列的雜湊演算法。TLS 不再信任 SHA-1 簽章的憑證。
  • TLS 伺服器憑證必須在憑證的主體別名延伸中顯示伺服器的 DNS 名稱。不再信任憑證的 CommonName 中的 DNS 名稱。

此外,2019 年 7 月 1 日之後核發的所有 TLS 伺服器憑證(如憑證的 NotBefore 欄位所指示)都必須遵循下列準則:

  • TLS 伺服器憑證必須包含具有 id-kp-serverAuth OID 的 ExtendedKeyUsage(EKU)延伸。
  • TLS 伺服器憑證的有效期限不得超過 825 天(如憑證的 NotBefore 和 NotAfter 欄位所顯示)。

在 iOS 13 和 macOS 10.15 中,若違反這些新規定,連線至 TLS 伺服器將會失敗,並可能導致網路故障、app 故障,且無法在 Safari 載入網站。

發佈日期: