Zasady Apple dotyczące przejrzystości certyfikatów
Dowiedz się, jak zachować zgodność z zasadami Apple dotyczącymi przejrzystości certyfikatów.
Zaufane publicznie certyfikaty TLS uwierzytelniania serwera muszą spełniać zasady Apple dotyczące przejrzystości certyfikatów, aby zostały uznane za zaufane na platformach Apple.
Certyfikaty niespełniające naszych zasad spowodują niepowodzenie połączenia TLS, co może skutkować przerwaniem połączenia aplikacji z Internetem lub brakiem możliwości bezproblemowego łączenia się przeglądarki Safari.
Wymagania dotyczące zasad
Zasady Apple wymagają co najmniej dwóch certyfikatów SCT (Signed Certificate Timestamps) wydanych z dziennika zaufanych certyfikatów, kiedyś zatwierdzonych1 lub zatwierdzonych2 w momencie przeprowadzania sprawdzenia oraz:
co najmniej dwóch certyfikatów SCT z obecnie zatwierdzonych dzienników zaufanych certyfikatów z jednym certyfikatem SCT przedstawionym przez rozszerzenie protokołu TLS lub mechanizm OCSP Stapling; lub
co najmniej jednego wbudowanego certyfikatu SCT z obecnie zatwierdzonego dziennika i co najmniej danej liczby certyfikatów SCT z kiedyś lub obecnie zatwierdzonych dzienników, w zależności od okresu ważności przedstawionego w tabeli poniżej.
W przypadku certyfikatów z wartością notBefore większą lub równą 21 kwietnia 2021 (2021-04-21T00:00:00Z) liczba wbudowanych certyfikatów SCT w zależności od ważności certyfikatu3:
Ważność certyfikatu | Ilość certyfikatów SCT z osobnych dzienników | Maksymalna liczba certyfikatów SCT dla każdego operatora dziennika, która wlicza się do wymagania dotyczącego certyfikatów SCT |
---|---|---|
180 dni lub mniej | 2 | 1 |
Od 181 do 398 dni | 3 | 2 |
W przypadku certyfikatów z wartością notBefore mniejszą niż 21 kwietnia 2021 (2021-04-21T00:00:00Z) Liczba wbudowanych certyfikatów SCT w zależności od ważności certyfikatu:
Ważność certyfikatu | Ilość certyfikatów SCT z osobnych dzienników |
---|---|
Mniej niż 15 miesięcy | 2 |
15 do 27 miesięcy | 3 |
27 do 39 miesięcy | 4 |
Więcej niż 39 miesięcy | 5 |
W przypadku certyfikatów z wartością notBefore większą lub równą 20210421T00:00:00Z operatorzy dzienników MOGĄ odrzucić certyfikaty liścia, które nie zawierają rozszerzenia EKU obiektu serverAuth.
Operatorzy dzienników MUSZĄ dostarczyć pisemne powiadomienie z co najmniej 45-dniowym wyprzedzeniem na adres certificate-transparency-program@group.apple.com o wszelkich zmianach w zaakceptowanym zestawie certyfikatów liścia, które akceptują ich dzienniki.
Dzienniki przejrzystości certyfikatów
Pobierz bieżącą listę dzienników zaufanych certyfikatów i schemat listy dzienników zaufanych certyfikatów w formacie JSON.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.