Новые требования Apple по обеспечению соответствия для частных SSL-сертификатов

Apple недавно объявила о некоторых новых требованиях к безопасности для сертификата SSL/TLS, которые вступят в силу с выпуском iOS 13 и MacOS 10.15. Эти требования касаются открытых и частных сертификатов, выданных после 1 июля 2019 года.

Для ваших открытых сертификатов DigiCert SSL/TLS никакие действия не требуются.

Открытые сертификаты DigiCert SSL/TLS уже отвечают всем этим требованиям безопасности. На открытые сертификаты SSL/TLS эти новые требования не влияют, и они будут пользоваться доверием iOS 13 и MacOS 10.15.

Что нового?

Apple реализует дополнительные требования к безопасности для всех сертификатов SSL/TLS, которые по определению влияют на частные сертификаты SSL/TLS. См. Требования к доверенным сертификатам в iOS 13 и macOS 10.15. Частные сертификаты DigiCert SSL/TLS соответствуют этим требованиям, если они выданы администраторами учетных записей в соответствии с требованиями, предъявляемыми к открытым сертификатам.

Ниже приведен список требований, которые могут повлиять на ваши частные сертификаты SSL/TLS. К счастью, эти версии ОС Apple планируется выпустить осенью этого года. Это значит, у вас есть время, чтобы подготовиться.

• Необходимо использовать алгоритм из SHA-2 в алгоритме подписи. Подписанные с помощью SHA-1 сертификаты больше не являются доверенными для SSL/TLS.
• Срок действия должен составлять не более 825 дней. Сертификаты SSL/TLS со сроком действия более 825 дней больше не являются доверенными.

Если у вас есть частные сертификаты, которые не соответствуют этим требованиям, и ваши частные сертификаты должны пользоваться доверием Apple iOS и macOS, вам необходимо убедиться, что все частные сертификаты SSL/TLS, выпущенные после 1 июля 2019 года, будут выданы изначально или повторно до появления того, как iOS 13 и macOS 10.15 станут общедоступными. См. Повторный выпуск сертификата SSL/TLS.