Apple の Certificate Transparency ポリシー

Apple の Certificate Transparency ポリシーに準拠する方法についてご案内します。

公的に信頼された Transport Layer Security (TLS) サーバ認証証明書は、Apple の Certificate Transparency (CT) ポリシーに準拠していない限り、Apple のプラットフォームで「信頼されている」という評価を得ることはできません。

Apple のポリシーに準拠しない証明書は TLS 接続を確立できず、その結果、アプリでインターネットサービスに接続できなくなったり、Safari のシームレスな接続機能が損なわれたりする可能性があります。

ポリシーの要件

Apple のポリシーでは、CT ログ (「以前承認済み1」または確認した時点で「現在承認済み2」のもの) から発行された SCT (Signed Certificate Timestamps:署名済み証明書タイムスタンプ) が 2 つ以上必要です。また、以下のいずれかの条件が満たされている必要があります。

  • 現在承認済みの CT ログから発行された SCT が最低 2 件あり、そのうち 1 つは、TLS 拡張機能または OCSP Stapling により提示されること。

  • 現在承認済みのログから発行された埋め込みの SCT が最低 1 件あり、以前または現在承認済みのログから発行された SCT の数が、有効期間に基づく最低数 (下表) を上回っていること。

証明書の notBefore 値が 2021 年 4 月 21 日 (2021-04-21T00:00:00Z) 以降である場合の、証明書の有効期間に基づく埋め込み SCT の数3

証明書の有効期間

個別のログからの SCT の数

ログ運営者ごとの SCT の最大数 (SCT の要件に加算)

180 日間以下

2

1

181 ~ 398 日間

3

2

証明書の notBefore 値が 2021 年 4 月 21 日 (2021-04-21T00:00:00Z) より前である場合の、証明書の有効期間に基づく埋め込み SCT の数:

証明書の有効期間

個別のログからの SCT の数

15 か月未満

2

15 ~ 27 か月

3

27 ~ 39 か月

4

39 か月以上

5

証明書の notBefore 値が 20210421T00:00:00Z 以降である場合、serverAuth EKU を含まないリーフ証明書はログ運営者から拒否されることがあります。

ログ運営者は、運営するログが受け入れる承認済みリーフ証明書一式を変更するような場合には、少なくとも 45 日前までに書面にて certificate-transparency-program@group.apple.com に通知する必要があります。

CT ログ

現在の CT ログリストおよび CT ログリストのスキーマを JSON フォーマットでダウンロードできます。

1. 「以前承認済み」と見なされるには、SCT のタイムスタンプが、その SCT の発行時点においてステータスが「Qualified」(認定済み) または「Usable」(利用可能) である CT ログから発行されたものであることが必要です。
2. CT ログのステータスの定義については、Apple の Certificate Transparency ログプログラムに関するこちらの記事を参照してください。
3. 証明書の有効期間は、RFC 5280 のセクション 4.1.2.5 にそって「notBefore から notAfter までの期間」と定義されています。
a. 有効期間は、1 日を 86,400 秒として換算した数値です。この時間数を少しでも上回った場合は、有効日数を 1 日上回ったことになります。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: