由於 SHA-1 TLS 傳輸層安全性協定已慢慢被拋棄,iOS 13和 macOS 10.15中 TLS 服務器證書有新安全要求,所有 TLS 服務器證書必須符合。TLS 服務器證書和頒發 CA 必須使用簽名算法中 SHA-2 系列的哈希算法,TLS 不再信任 SHA-1 簽名證書。
Apple 公司在 WWDC 2019 開發者大會之後,宣布使用 RSA 密鑰的 TLS 服務器證書,和頒發 CA 必須使用大於或等於 2048 位的密鑰大小,TLS 不再信任使用小於 2048 位的 RSA 密鑰大小的證書,iOS 13 和 macOS Catalina 正式拋棄採用 SHA-1 算法簽名的證書。
TLS 服務器證書必須包含包含 id-kp-serverAuth OID 的 ExtendedKeyUsage (EKU) 擴展。TLS 服務器證書的有效期必須為 825 天或更短 (如證書的 NotBefore和NotAfter 字段所示)。與 TLS 服務器的連接違反這些新要求將失敗,並可能導致 Safari 網路故障。
相關文章: