Az Apple Certificate Transparency-szabályzata

Az alábbiakból megtudhatja, hogyan tarthatja be az Apple Certificate Transparency-szabályzatát.

A nyilvánosan megbízható TLS kiszolgálóhitelesítési tanúsítványoknak meg kell felelniük az Apple Certificate Transparency-szabályzatának annak érdekében, hogy az Apple platformjain megbízhatóként jelöljük meg őket.

Amennyiben a tanúsítvány nem felel meg ennek a szabályzatnak, a TLS-csatlakozás sikertelen lesz, ezért az alkalmazás internetkapcsolata megszakadhat, illetve előfordulhat, hogy a Safari nem képes zökkenőmentesen csatlakozni.

A szabályzat követelményei

Az Apple szabályzatának értelmében a CT-naplóból legalább két – jövőben jóváhagyott1 vagy az ellenőrzés időpontjában jóváhagyott2 – SCT-nek (Signed Certificate Timestamp) kell származnia, továbbá:

  • legalább két SCT-re van szükség a jelenleg jóváhagyott CT-naplókból, amelyek közül egy SCT-nek a TLS-bővítményből vagy az OCSP-hozzáfűzésből kell származnia; vagy

  • legalább egy beágyazott SCT-re van szükség egy jelenleg jóváhagyott naplóból, és legalább az SCT-k számára is szükség van a jövőben vagy a jelenleg jóváhagyott naplókból – az érvényességi időtartam alapján, az alábbi táblázat szerint.

Azoknál a tanúsítványoknál, amelyeknél a „notBefore” érték a 2021. április 21-ei (2021-04-21T00: 00: 00Z) értéknél nagyobb vagy azzal egyenlő, a beágyazott SCT-k száma a tanúsítvány élettartamán alapul3:

Tanúsítvány élettartama

SCT-k száma különálló naplókból

Az SCT-követelménybe beszámítható SCT-k maximális száma naplókezelőnként

Legfeljebb 180 nap vagy kevesebb

2

1

181–398 nap

3

2

Azoknál a tanúsítványoknál, amelyeknél a „notBefore” érték a 2021. április 21-ei (2021-04-21T00: 00: 00Z) értéknél kevesebb, a beágyazott SCT-k száma a tanúsítvány élettartamán alapul:

Tanúsítvány élettartama

SCT-k száma különálló naplókból

Kevesebb mint 15 hónap

2

15–27 hónap

3

27–39 hónap

4

Több mint 39 hónap

5

A 20210421T00:00:00Z értékkel megegyező vagy annál nagyobb „notBefore” értékű tanúsítványok esetén a naplókezelők elutasíthatják azokat a levéltanúsítványokat, amelyek nem tartalmazzák a serverAuth EKU értéket.

A naplókezelőknek legalább 45 nappal korábban, írásban értesítést KELL küldeniük a certificate-transparency-program@group.apple.com e-mail-címre a naplójuk/naplóik által elfogadott levéltanúsítványok esetleges módosításairól.

CT-naplók

Töltse le az aktuális CT-naplólistát és a CT-naplólistasémát JSON formátumban.

1. Ahhoz, hogy a naplót „jövőben jóváhagyottnak” lehessen tekinteni, az SCT-ben az időbélyeget olyan CT-naplóból kell kiadni, amelynek az állapota az SCT kiadásakor „Minősített” vagy „Használható”.
2. A CT-napló állapotmeghatározását az Apple Certificate Transparency naplóprogramban találja: https://support.apple.com/HT209255
3. A tanúsítvány érvényességi időszakát az RFC 5280 4.1.2.5 szakaszának megfelelően határoztuk meg, mint „a notBefore és a notAfter mezőkben jelzett dátumok közötti időtartam”.
a. Az érvényességi időszak mérésénél egy nap 86 400 másodpercnek felel meg. Az ennél hosszabb időtartam további érvényességi napot jelent.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: