Apple hat vor kurzem die neuen Versionen für seine mobilen Betriebssysteme iOS bzw. iPadOS in Version 13 veröffentlicht. Neben einigen offensichtlichen Veränderungen, die bereits groß diskutiert wurden, gibt es auch einige Änderungen, die auf den ersten Blick womöglich nicht groß auffallen. Eine dieser Änderungen betrifft den Einsatz von Zertifikaten. Hier hat Apple einiges geändert, sodass womöglich einige selbst signierte Zertifikate, die bereits vor längerer Zeit ausgestellt wurden, nicht mehr funktionieren.
Beim Aufruf der entsprechenden Seite erscheint dann folgender Hinweis.
Damit Zertifikate unter iOS 13 funktionieren, müssen folgende Anforderungen erfüllt sein.
- Zertifikate müssen eine Schlüsselgröße von mind. 2048 Bit haben
- Es muss mindestens SHA-2 als Hash Algorithmus verwendet werden
- Der “Subject-Alternative Name” muss gesetzt sein
- Zertifikate dürfen max. 825 Tage gültig sein
Die beiden ersten Punkte sollten bereits seit längerer Zeit als Standard gelten und keine Probleme verursachen. Allerdings gibt es gerade bei selbst signierten Zertifikaten oft das Problem, dass der DNS Name nicht in der SAN Erweiterung auftaucht.
Eine weitere Hürde stellt die Gültigkeit der Zertifikate dar. Viele selbst signierte Zertifikate laufen mindestens 3 Jahre. Apple erlaubt jedoch nur noch eine Gültigkeit von maximal 825 Tagen. Dies betrifft jedoch nur ausgestellte Zertifikate. Die Gültigkeit der CA kann natürlich deutlich länger sein.
Wer also von dem Problem betroffen ist, dass ein importiertes Zertifikat nicht mehr gültig ist, muss dieses mit den neuen Anforderungen neu generieren (lassen), damit der verschlüsselte Aufruf von Webseiten wieder funktioniert.
Zusätzlich muss unter iOS bzw. iPadOS die Vertrauensstellung für selbst signierte Zertifikate manuell aktiviert werden, damit diese fehlerfrei verwendet werden können.
Weitere Detailinformationen zu den neuen Zertifikatsanforderungen gibt es direkt bei Apple.
https://support.apple.com/de-de/HT210176