Política de Transparência de Certificados da Apple

Saiba como cumprir a política de Transparência de Certificados da Apple.

Os certificados de autenticação de servidor TLS (Transport Layer Security) publicamente confiáveis devem atender aos requisitos da política de Transparência de Certificados (CT) da Apple para serem avaliados como confiáveis​nas plataformas da Apple.

Se os certificados não atenderem aos requisitos dessa política, haverá falha na conexão TLS, o que pode interromper a conexão de um app com serviços da Internet ou impedir que o Safari estabeleça conexão corretamente.

Requisitos da política

A política da Apple exige pelo menos duas marcações de data e hora de certificado assinado (SCTs) emitidas usando um registro de CT (aprovado anteriormente1 ou atualmente2 no momento da verificação), bem como:

  • Pelo menos duas SCTs de registros de CT atualmente aprovados com uma SCT apresentada por meio de uma extensão TLS ou grampeamento OCSP; ou

  • Pelo menos uma SCT incorporada de um registro atualmente aprovado e pelo menos o número de SCTs de registros aprovados anteriormente ou atualmente com base no período de validade, conforme detalhado na tabela abaixo.

No caso de certificados com um valor notBefore maior ou igual a 21 de abril de 2021 (2021-04-21T00:00:00Z), o número de SCTs incorporadas com base na duração do certificado3:

Duração do certificado

Número de SCTs de registros separados

Número máximo de SCTs por operador de registro que são consideradas para o requisito de SCT

180 dias ou menos

2

1

181 a 398 dias

3

2

No caso de certificados com um valor notBefore menor que 21 de abril de 2021 (2021-04-21T00:00:00Z), o número de SCTs incorporadas com base na duração do certificado:

Duração do certificado

Número de SCTs de registros separados

Menos de 15 meses

2

15 a 27 meses

3

27 a 39 meses

4

Mais de 39 meses

5

No caso de certificados com um valor notBefore maior ou igual a 20210421T00:00:00Z, os operadores de registro PODEM rejeitar certificados de folha que não contêm o EKU de serverAuth.

Os operadores de registro DEVEM enviar um aviso prévio por escrito com no mínimo 45 dias de antecedência para o e-mail certificate-transparency-program@group.apple.com informando quaisquer alterações no conjunto aceito de certificados de folha que os respectivos registros aceitam.

Registros de CT

Baixe a lista de registros de CT atuais e do esquema de lista de registros de CT no formato JSON.

1. Para ser considerada como "aprovada anteriormente", a marcação de data e hora na SCT deve ter sido emitida de um registro de CT com o status "Qualificado" ou "Utilizável" no momento da emissão da SCT.
2. Para obter as definições de status do registro da CT, consulte o Programa de registro de Transparência de Certificados da Apple: https://support.apple.com/HT209255
3. Segundo a seção 4.1.2.5 do RFC 5280, o período de validade (ou duração) é definido como "o período de tempo compreendido entre notBefore e notAfter".
a. O período de validade é medido com um dia igual a 86.400 segundos. Se o tempo estipulado for maior que esse, será adicionado um dia a mais no período de validade.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: