الانتقال إلى شهادات SHA-256 الموقعة لتجنب فشل الاتصال
يجب على المطوّرين ومشغلي مواقع الويب ومسؤولي الخوادم الذين يستخدمون شهادات SHA-1 الموقعة لبروتوكول أمان TLS الانتقال إلى شهادات SHA-256 الموقعة في أقرب وقت ممكن.
تم إنهاء دعم شهادات SHA-1 الموقّعة والمستخدمة لبروتوكول أمان طبقة النقل (TLS) في Safari وWebKit، في الإصدارات macOS Sierra 10.12.4 وiOS 10.3 وtvOS 10.2 وwatchOS 3.2. تؤدي هذه التحديثات إلى إنهاء دعم جميع الشهادات الجذرية الصادرة من مرجع مصدّق (CA) مضمّن في المتجر المصدّق الافتراضي لنظام التشغيل.
macOS High Sierra 10.13 وiOS 11 وtvOS 11 وwatchOS 4 -المتوفرة هذا الخريف- لا تدعم شهادات SHA-1 الموقعة لأي اتصالات TLS.
لن تتأثر شهادات SHA-1 الموقّعة من المرجع المصدّق الأساسي وشهادات SHA-1 التي توزعها المؤسسات وشهادات SHA-1 المثبتة بواسطة المستخدم النهائي.
ما الذي تغير؟
في macOS Sierra 10.12.4 والإصدارات الأحدث وiOS 10.3 والإصدارات الأحدث، يعرض Safari إخطارًا عندما ينتقل مستخدم إلى صفحة ويب تحاول إنشاء اتصال TLS باستخدام شهادة SHA-1 موقّعة. يجب على المستخدم النقر على الإخطار لتحميل الموقع. وبعد تحميله، سيظهر هذا الموقع بأنه اتصال غير آمن في Safari.
سيظهر خطأ في التطبيقات التي تستخدم WebKit للاتصال بموقع باستخدام اتصال TLS إذا كانت شهادة الموقع عبارة عن شهادة SHA-1 موقّعة. يحتاج المطورون إلى التأكد من أن تطبيقاتهم تعالج هذه الأخطاء.
في macOS High Sierra 10.13 وiOS 11 وtvOS 11 وwatchOS 4، أي تطبيق يحاول إنشاء اتصال TLS باستخدام شهادة SHA-1 موقعة سيفشل في الاتصال. ويتضمن ذلك الخواد المستخدمة للبريد والتقويمات وشبكات VPN وغيرها من الخدمات الأخرى.
ماذا ينبغي عليّ فعله؟
يجب على المطورين ومشغلي مواقع الويب ومسؤولي الخوادم الانتقال إلى شهادات SHA-256 الموقعة في أقرب وقت ممكن لتجنب التحذيرات وفشل الاتصال. يوفر العديد من مشغلي المرجع المصدق (CA) شهادات SHA-256 موقعة.
للحصول على قائمة بشهادات جذرية صادرة من مرجع مصدّق (CA) ومضمنة في متاجر المصدّق الافتراضي، راجع: