Tento článek byl archivován a Apple ho nadále neaktualizuje.

Přejděte na certifikáty s podpisy SHA-256, aby nedocházelo k chybám připojení

Vývojáři, provozovatelé webů a správci serverů, kteří pro zabezpečení TLS používají certifikáty s podpisem SHA-1, by měli co nejdřív přejít na certifikáty s podpisem SHA-256.

Podpora pro certifikáty s podpisem SHA-1 používané pro protokol TLS (Transport Layer Security) v Safari a WebKitu byla ukončena vydáním macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 a watchOS 3.2. Tyto aktualizace odebraly podporu všech certifikátů vydaných kořenovými certifikačními autoritami uvedenými v systémovém úložišti důvěryhodných certifikátů.

macOS High Sierra 10.13, iOS 11, tvOS 11 a watchOS 4 – dostupné od letošního podzimu – nepodporují certifikáty s podpisem SHA-1 pro žádná TLS připojení.

Kořenových certifikátů certifikačních autorit s podpisem SHA-1, SHA-1 certifikátů distribuovaných v podnicích a SHA-1 certifikátů nainstalovaných uživatelem se změna netýká.

Co se změnilo?

Safari v macOS Sieře 10.12.4 nebo novější a iOS 10.3 nebo novějším zobrazuje upozornění, kdykoli uživatel otevře stránku, která se pokouší navázat TLS spojení pomocí certifikátu s podpisem SHA-1. Web se uživateli načte až po kliknutí na toto upozornění. Po načtení se stránka bude v Safari zobrazovat jako nezabezpečené spojení.

Pokud se nějaká aplikace pokusí pomocí WebKitu připojit přes TLS ke vzdálenému webu, který používá certifikát podepsaný přes SHA-1, dojde k chybě. Vývojáři musí zajistit, aby jejich aplikace uměly s těmito chybami pracovat.

V macOS High Sieře 10.13, iOS 11, tvOS 11 a watchOS 4 se žádné aplikaci, která se pokusí navázat TLS spojení pomocí certifikátu s podpisem SHA-1, nepodaří spojení navázat. Vztahuje se to i na servery používané pro e-mail, kalendáře, VPN a další služby.

Co musím udělat?

Vývojáři, provozovatelé webů a správci serverů by měli co nejdřív přejít na certifikáty s podpisem SHA-256, aby nedocházelo k varováním a chybám připojení. Certifikáty s podpisem SHA-256 poskytuje celá řada certifikačních autorit.

Následující odkazy uvádějí seznam kořenových certifikátů obsažených v úložištích důvěryhodných certifikátů na našich platformách:

Datum zveřejnění: