Apple 的证书透明度政策
了解怎样才能符合 Apple 的证书透明度政策。
公开可信的传输层安全 (TLS) 服务器认证证书必须符合 Apple 的证书透明度 (CT) 政策,才能在 Apple 平台上被评估为受信任。
如果证书不符合我们的政策,将导致 TLS 连接失败,这可能会导致 App 与互联网服务的连接断开,或导致 Safari 浏览器无法实现无缝连接。
政策要求
Apple 的政策要求至少有两个由 CT 日志(曾获批准1 或检查当时已获批准2)发放的已签名证书时间戳 (SCT),并且符合以下任一情况:
至少有两个由当时已获批准的 CT 日志发放的 SCT,且其中一个 SCT 通过 TLS 扩展或 OCSP 封套呈现;或者
基于下表中详述的有效期,至少有一个由当时已获批准的日志发放的嵌入式 SCT,且由曾获批准或当时已获批准的日志发放的 SCT 数量至少满足表中的数量。
对于 notBefore 值大于或等于 2021 年 4 月 21 日 (2021-04-21T00:00:00Z) 的证书,基于证书生命周期的嵌入式 SCT 数量如下3:
证书生命周期 | 由不同日志发放的 SCT 数量 | 每个日志操作员的最大 SCT 数量,它会计入 SCT 要求之内 |
|---|---|---|
小于或等于 180 天 | 2 | 1 |
181 到 398 天 | 3 | 2 |
对于 notBefore 值小于 2021 年 4 月 21 日 (2021-04-21T00:00:00Z) 的证书,基于证书生命周期的嵌入式 SCT 数量如下:
证书生命周期 | 由不同日志发放的 SCT 数量 |
|---|---|
不到 15 个月 | 2 |
15 到 27 个月 | 3 |
27 到 39 个月 | 4 |
超过 39 个月 | 5 |
对于 notBefore 值等于或大于 20210421T00:00:00Z 的证书,日志操作员可能会拒绝不包含 serverAuth EKU 的叶证书。
如果对于已被接受的一组叶证书,日志接受它们发生的任何变化,则日志操作员必须至少提前 45 天向 certificate-transparency-program@group.apple.com 发送书面通知。
CT 日志
以 JSON 格式下载最新 CT 日志列表和 CT 日志列表架构。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。