Het Certificate Transparency-beleid (CT-beleid) van Apple

Lees hier hoe je voldoet aan het Certificate Transparency-beleid (CT-beleid) van Apple.

Openbaar vertrouwde Transport Layer Security-certificaten (TLS) voor serveridentiteitscontrole dienen te voldoen aan het Certificate Transparency-beleid van Apple om op Apple platforms als vertrouwd te worden aangemerkt.

Certificaten die niet aan ons beleid voldoen, leiden tot het mislukken van de TLS-verbinding, wat dan weer tot gevolg kan hebben dat de verbinding van een app met internetvoorzieningen wordt verbroken of dat Safari geen naadloze verbinding kan maken.

Vereisten van het beleid

Het beleid van Apple vereist ten minste twee SCT's (Signed Certificate Timestamps) die zijn afgegeven vanuit een CT-logboek (eenmaal goedgekeurd1 dan wel momenteel goedgekeurd2 op het moment van de controle), en ofwel:

  • Ten minste twee SCT's uit momenteel goedgekeurde CT-logboeken waarvan één SCT wordt aangeboden via een TLS-extensie of via OCSP Stapling, ofwel

  • Ten minste één ingesloten SCT uit een momenteel goedgekeurd logboek en ten minste het aantal SCT's uit eenmaal of momenteel goedgekeurde logboeken, gebaseerd op de geldigheidsduur zoals aangegeven in de tabel hieronder.

Voor certificaten met een notBefore-waarde groter dan of gelijk aan 21 april 2021 (2021-04-21T00:00:00Z), het aantal ingesloten SCT's gebaseerd op de geldigheidsduur van het certificaat3:

Geldigheidsduur van certificaat

Aantal SCT's uit afzonderlijke logboeken

Maximaal aantal SCT's per logboekoperator dat meetelt voor de SCT-vereiste

180 dagen of minder

2

1

181 tot 398 dagen

3

2

Voor certificaten met een notBefore-waarde kleiner dan 21 april 2021 (2021-04-21T00:00:00Z), het aantal ingesloten SCT's gebaseerd op de geldigheidsduur van het certificaat:

Geldigheidsduur van certificaat

Aantal SCT's uit afzonderlijke logboeken

Minder dan 15 maanden

2

15 tot 27 maanden

3

27 tot 39 maanden

4

Meer dan 39 maanden

5

Voor certificaten met een notBefore-waarde gelijk aan of groter dan 20210421T00:00:00Z kunnen logboekoperators leaf-certificaten weigeren die de serverAuth EKU niet bevatten.

Logboekoperators MOETEN minimaal 45 dagen van tevoren certificate-transparency-program@group.apple.com schriftelijk op de hoogte stellen van eventuele wijzigingen in de geaccepteerde reeks leaf-certificaten die hun logboeken accepteren.

CT-logboeken

Download de huidige CT-logboekenlijst en het CT-logboekenlijstschema in de JSON-structuur.

1. Om als 'eenmaal goedgekeurd' te worden beschouwd, moet de tijdstempel in de SCT zijn uitgegeven vanuit een CT-logboek met de status 'Goedgekeurd’ of 'Bruikbaar' op het moment van afgifte van de SCT.
2. Voor statusdefinities van CT-logboeken raadpleeg je het Apple Certificate Transparency-logprogramma: https://support.apple.com/HT209255
3. De geldigheidsduur (of levensduur) van een certificaat wordt gedefinieerd in overeenstemming met RFC 5280, sectie 4.1.2.5, als 'de periode van notBefore tot en met notAfter'.
a. De geldigheidsperiode wordt gemeten in dagen, waarbij een dag een duur heeft van 86.400 seconden. Elke seconde langer betekent een extra geldigheidsdag.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: