Вимоги до довірених сертифікатів у iOS 13 і macOS 10.15
Дізнайтеся про нові вимоги безпеки для сертифікатів сервера TLS в iOS 13 і macOS 10.15.
Усі сертифікати сервера TLS мають відповідати наведеним далі новим вимогам безпеки в iOS 13 і macOS 10.15.
Сертифікати сервера TLS і центри сертифікації, які їх видають і які використовують ключі RSA, мають використовувати ключі розміром 2048 біт або більше. Сертифікати, які використовують ключі RSA розміром менше ніж 2048 біт, уже не вважаються довіреними для сервера TLS.
Сертифікати сервера TLS і центри сертифікації, які їх видають, мають використовувати алгоритм хешування із сімейства SHA-2 для створення цифрового підпису. Підписані сертифікати SHA-1 більше не є довіреними для сервера TLS.
Сертифікати сервера TLS мають містити ім’я сервера DNS із використанням розширення Subject Alternative Name сертифіката. Імена DNS із використанням поля CommonName у сертифікаті більше не є довіреними.
Крім того, усі сертифікати сервера TLS, видані після 1 липня 2019 року (як зазначено в полі NotBefore у сертифікаті), мають відповідати наведеним далі правилам.
Сертифікати сервера TLS мають включати розширення ExtendedKeyUsage (EKU), що містить ідентифікатор об’єкта id-kp-serverAuth.
Термін дії сертифікатів сервера TLS має становити 825 днів або менше (як зазначено в полях NotBefore і NotAfter у сертифікаті).
З’єднання із серверами TLS, які порушують ці нові вимоги, будуть неможливі й можуть призвести до збоїв у мережі, помилок у програмах і неможливості завантажувати вебсайти в браузері Safari в iOS 13 і macOS 10.15.