Přejděte na certifikáty s podpisy SHA-256, aby nedocházelo k chybám připojení
Vývojáři, provozovatelé webů a správci serverů, kteří pro zabezpečení TLS používají certifikáty s podpisem SHA-1, by měli co nejdřív přejít na certifikáty s podpisem SHA-256.
Podpora pro certifikáty s podpisem SHA-1 používané pro protokol TLS (Transport Layer Security) v Safari a WebKitu byla ukončena vydáním macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 a watchOS 3.2. Tyto aktualizace odebraly podporu všech certifikátů vydaných kořenovými certifikačními autoritami uvedenými v systémovém úložišti důvěryhodných certifikátů.
macOS High Sierra 10.13, iOS 11, tvOS 11 a watchOS 4 – dostupné od letošního podzimu – nepodporují certifikáty s podpisem SHA-1 pro žádná TLS připojení.
Kořenových certifikátů certifikačních autorit s podpisem SHA-1, SHA-1 certifikátů distribuovaných v podnicích a SHA-1 certifikátů nainstalovaných uživatelem se změna netýká.
Co se změnilo?
Safari v macOS Sieře 10.12.4 nebo novější a iOS 10.3 nebo novějším zobrazuje upozornění, kdykoli uživatel otevře stránku, která se pokouší navázat TLS spojení pomocí certifikátu s podpisem SHA-1. Web se uživateli načte až po kliknutí na toto upozornění. Po načtení se stránka bude v Safari zobrazovat jako nezabezpečené spojení.
Pokud se nějaká aplikace pokusí pomocí WebKitu připojit přes TLS ke vzdálenému webu, který používá certifikát podepsaný přes SHA-1, dojde k chybě. Vývojáři musí zajistit, aby jejich aplikace uměly s těmito chybami pracovat.
V macOS High Sieře 10.13, iOS 11, tvOS 11 a watchOS 4 se žádné aplikaci, která se pokusí navázat TLS spojení pomocí certifikátu s podpisem SHA-1, nepodaří spojení navázat. Vztahuje se to i na servery používané pro e-mail, kalendáře, VPN a další služby.
Co musím udělat?
Vývojáři, provozovatelé webů a správci serverů by měli co nejdřív přejít na certifikáty s podpisem SHA-256, aby nedocházelo k varováním a chybám připojení. Certifikáty s podpisem SHA-256 poskytuje celá řada certifikačních autorit.
Následující odkazy uvádějí seznam kořenových certifikátů obsažených v úložištích důvěryhodných certifikátů na našich platformách:
Seznam dostupných důvěryhodných kořenových certifikátů v macOS
Seznam dostupných důvěryhodných kořenových certifikátů v iOS
Seznam dostupných důvěryhodných kořenových certifikátů v tvOS
Seznam dostupných důvěryhodných kořenových certifikátů ve watchOS