Apples politik for certifikatgennemsigtighed

Læs mere om at overholde Apples politik for certifikatgennemsigtighed.

Offentligt betroede TLS-servergodkendelsescertifikater (Transport Layer Security) skal overholde Apples politik for certifikatgennemsigtighed (CT-politik) for at blive vurderet som godkendte på Apple-platforme.

Certifikater, der ikke overholder vores politik, vil medføre en mislykket TLS-forbindelse, hvilket kan afbryde en apps forbindelse til internettjenester eller Safaris mulighed for at oprette forbindelse uden problemer.

Politikkrav

Apples politik kræver mindst to SCT'er (Signed Certificate Timestamps) udstedt fra en CT-log – efter godkendelse1 eller godkendt2 på tidspunktet for kontrollen – og enten:

  • Mindst to SCT'er fra CT-logge godkendt på tidspunktet med én SCT præsenteret via TLS-udvidelse eller OCSP-hæftning, eller

  • Mindst én indlejret SCT fra en log godkendt på tidspunktet og mindst det antal SCT'er fra logge efter godkendelse eller godkendt på tidspunktet baseret på gyldighedsperioden angivet i tabellen nedenfor.

For certifikater med en notBefore-værdi, der er større end eller lig med 21. april 2021 (2021-04-21T00:00:00Z), er antallet af indlejrede SCT'er baseret på certifikatlevetiden3:

Certifikatlevetid

Antal SCT'er fra separate logge

Maksimalt antal SCT'er pr. logoperatør, der tæller med i SCT-kravet

180 dage eller derunder

2

1

181 til 398 dage

3

2

For certifikater med en notBefore-værdi, der er mindre end 21. april 2021 (2021-04-21T00:00: 00Z), er antallet af indlejrede SCT'er baseret på certifikatlevetiden:

Certifikatlevetid

Antal SCT'er fra separate logge

Mindre end 15 måneder

2

15 til 27 måneder

3

27 til 39 måneder

4

Mere end 39 måneder

5

For certifikater med en notBefore-værdi, der er lig med eller større end 20210421T00:00:00Z, KAN logoperatører afvise bladcertifikater, som ikke indeholder serverAuth EKU.

Logoperatører SKAL give mindst 45 dages skriftlig varsel til certificate-transparency-program@group.apple.com, hvis de ændrer det accepterede sæt af bladcertifikater, som deres logge accepterer.

CT-logge

Download den nuværende CT-logliste og CT-loglisteskemaet i JSON-format.

1. For at blive regnet som "efter godkendelse" skal tidsstemplet i SCT'en være udstedt fra en CT-log med status som "Qualified" (Kvalificeret) eller "Usable" (Brugbar) på tidspunktet for SCT-udstedelsen.
2. Du kan se definitioner af CT-logstatussen i Apples logprogram for certifikatgennemsigtighed: https://support.apple.com/HT209255
3. Et certifikats gyldighedsperiode (eller levetid) er defineret som "tidsperioden fra notBefore indtil og inklusive notAfter" i overensstemmelse med afsnit 4.1.2.5 i RFC 5280.
a. Gyldighedsperioden måles sådan, at en dag er lig med 86.400 sekunder. Eventuelle tidsperioder længere end dette indikerer en ekstra gyldighedsdag.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: