Appleの記事に書いてある通りなのだが、簡単に言うとこういうことである。
- 次のうちのいずれかをルート証明書として持っている
- iOSがルート証明書として登録している
- ユーザかシステム管理者がルート証明書として登録している
- AES-128かAES-256共通鍵暗号を用いる。一時的な楕円曲線ディフィー・ヘルマン鍵共有アルゴリズムを使ったPerfect forward secrecy(仮に暗号化されたデータを盗聴して記録しておいても、将来的にも解読されないことが保証される)をサポートするアルゴリズムであるこれらのいずれかである必要がある
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- サーバ証明書が2048ビット以上のRSAか256ビット以上のECCで署名されていて、ダイジェストアルゴリズムとしてSHA-2(256ビット以上)であること
サーバが問題なくこれらをサポートしているかは、Mac OS X上で nscurl --ats-diagnostics https://[domain name]/
と実行すればわかる。
Default ATS Secure Connectionの部分が Result : PASS
となっていればOKである。