WWDC 2018:苹果Safari将强制要求CT证书透明度
发布日期:2018-06-11继谷歌和Mozilla之后,苹果Safari浏览器也强制要求SSL/TLS证书支持证书透明度(CT)。
6月5日,苹果公司在WWDC 2018开发者大会期间发布重要公告:从2018年10月15日起,所有SSL/TLS证书必须在公共可用的CT日志中记录证书透明度信息,才能被Safari浏览器信任。如果证书没有正确记录,将和过期证书或错误配置证书一样,显示严重的浏览器警告并且无法连接到页面。此更改将在Safari浏览器版本更新时生效。
苹果的证书透明度要求
这是苹果的新证书透明度政策:“我们的政策要求,在检查时至少有两份由CT日志签发的签名证书时间戳(SCT),CT日志可以是曾经审批的或当前审批的。
- 至少有两个SCT是由当前审批的CT日志签发,其中有一个通过TLS扩展或OCSP Stapling提供。
- 至少有一个嵌入式SCT由当前审批的CT日志签发,并且至少来自曾经或当前审批日志的SCT数量根据有效期的长度应符合下表要求。”
苹果新政策的影响范围
尽管Safari浏览器占整个桌面浏览器市场份额的比例仅略高于3%,但它占据了四分之一(约27%)的移动浏览器市场份额,此政策对Safari桌面和在iOS上运行的移动版本都有效。
苹果Safari是第三个宣布强制要求证书透明度的主流浏览器,但它是第二个给出明确执行日期的。谷歌将于7月份开始强制4月30日之后签发的所有证书记录证书透明度,Mozilla虽然也承诺要求CT,但没有给出明确的日期。
苹果的证书透明度要求将影响2018年10月15日以后签发的所有证书,要求不具有追溯性,在10月15日之前签发的证书没有严格要求加入CT。该政策仅对CA机构有影响,最终用户不需要采取任何行动,大多数CA已经开始执行透明度要求应对各大浏览器的政策。沃通SSL Pro证书已经从2018年2月1日开始全面支持证书透明度(CT)日志,比谷歌的要求的期限提前了2个月。
沃通原创文章,转载请注明来源 https://www.wosign.com/News/2018-0611-01.htm
本文参考资料:苹果技术支持官网