מדיניות שקיפות האישורים של Apple
למדו כיצד לציית למדיניות שקיפות האישורים של Apple.
אישורי אימות שרתים מסוג Transport Layer Security (TLS) שנחשבים למהימנים באופן ציבורי, חייבים לעמוד במדיניות שקיפות האישורים (CT) של Apple כדי להיחשב למהימנים בפלטפורמות של Apple.
אישורים שלא יעמדו במדיניות שלנו, יגרמו לכשל בחיבור TLS שעלול לנתק חיבור של אפליקציה לשירותי אינטרנט או לפגוע ביכולת של Safari להתחבר בצורה חלקה.
דרישות המדיניות
המדיניות של Apple מחייבת לפחות שתי חותמות זמן חתומות (SCT) שהונפקו על ידי יומן CT – ברגע שאושרו1 או מאושרות בהווה2 בזמן הבדיקה — ואחת מבין האפשרויות הבאות:
לפחות שתי חותמות SCT מיומני CT מאושרים בהווה עם חותמת SCT אחת שמוצגת באמצעות הרחבת TLS או שידוך OCSP; או
חותמת SCT מוטבעת אחת לפחות מיומן מאושר בהווה ולפחות מספר חותמות SCT מיומנים מאושרים בהווה או שיאושרו בהמשך, על סמך תקופת התוקף שמפורטת בטבלה בהמשך.
עבור אישורים עם ערך notBefore גדול מ-21 באפריל 2021 (2021-04-21T00:00:00Z) או שווה לו, מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור3:
אורך חיי האישור | מס' חותמות SCT מיומנים נפרדים | מספר מרבי של חותמות SCT לכל מפעיל יומן שנספר במסגרת דרישת SCT |
---|---|---|
180 ימים או פחות | 2 | 1 |
181 עד 398 ימים | 3 | 2 |
עבור אישורים עם ערך 'לא לפני' קטן מ-21 באפריל 2021 (2021-04-21T00:00:00Z), מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור:
אורך חיי האישור | מס' חותמות SCT מיומנים נפרדים |
---|---|
פחות מ-15 חודשים | 2 |
15 עד 27 חודשים | 3 |
27 עד 39 חודשים | 4 |
יותר מ-39 חודשים | 5 |
עבור אישורים עם ערך 'לא לפני' שווה ל-20210421T00:00:00Z או גדול ממנו, מפעילי יומן עשויים לדחות אישורי "עלה" (אישורי משתמש קצה) שלא מכילים את ה-EKU של serverAuth.
מפעילי יומן חייבים לשלוח הודעה בכתב, לפחות 45 ימים מראש, לכתובת certificate-transparency-program@group.apple.com על כל שינוי באוסף אישורי העלה שהיומנים שלהם מקבלים.
יומני CT
הורידו את רשימת יומני CT הנוכחית ואת הסכמה של רשימת יומני CT בפורמט JSON.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.