Seznam dostupných důvěryhodných kořenových certifikátů v iOS

Úložiště důvěryhodných certifikátů (Trust Store) v iOS obsahuje důvěryhodné kořenové certifikáty, které jsou v iOS už předinstalované.

Zablokování důvěry certifikátu WoSign CA Free SSL Certificate G2

Certifikační autorita WoSign zaznamenala několik chyb v kontrolách svého procesu pro vydávání certifikátu WoSign CA Free SSL Certificate G2. V našem seznamu důvěryhodných kořenových certifikátů se nenachází žádný certifikát WoSign. Certifikační autorita WoSign ale ke zřizování důvěry v produktech Apple používala certifikáty zprostředkovaně podepsané autoritami StartCom a Comodo.

Na základě těchto nových zjištění jsme provedli opatření pro lepší ochranu uživatelů. Produkty Apple už nedůvěřují certifikátu WoSign CA Free SSL Certificate G2.

Aby uživatelé certifikátů WoSign měli i nadále přístup ke službám a mohli přejít na zabezpečené kořenové certifikáty, důvěřují produkty Apple stávajícím individuálním certifikátům vydaným touto autoritou, které byly publikovány na protokolových serverech organizace Certificate Transparency před 19. zářím 2016. Těmto certifikátům budou důvěřovat, dokud nevyprší, nebude jim zrušena platnost nebo dokud jim společnost Apple podle svého uvážení nevypoví důvěru.

Je možné, že na základě dalšího vyšetřování provedeme u certifikátů WoSign/StartCom v produktech Apple další opatření pro ochranu uživatelů.

Další opatření ohledně certifikátů WoSign

Po dalším zkoumání vyšlo najevo, že certifikační autorita WoSign nejenže používala nedostatečné kontrolní procesy, ale navíc neoznámila převzetí společnosti StartCom.

V připravované bezpečnostní aktualizaci proto chystáme další opatření pro ochranu uživatelů. Produkty Apple budou blokovat certifikáty vydané autoritami WoSign a StartCom, které byly publikovány 1. prosince 2016 00:00:00 GMT/UTC nebo později.

Informace o důvěryhodnosti a certifikátech

Každé níže uvedené úložiště důvěryhodných certifikátů (Trust Store) v iOS obsahuje tři kategorie certifikátů:

  • Důvěryhodné certifikáty zakládají řetězec důvěry, který ověřuje jiné certifikáty podepsané důvěryhodnými kořenovými certifikáty. Slouží například k navázání bezpečného připojení k webovému serveru. Když správci IT vytvářejí nové konfigurační profily pro iOS, nemusí tyto důvěryhodné kořenové certifikáty zahrnovat.
  • Certifikáty typu Vždy se dotázat jsou nedůvěryhodné, ale nejsou blokované. Při použití některého z těchto certifikátů se zobrazí dotaz, zda mu chcete důvěřovat, nebo ne.
  • Blokované certifikáty se považují za nebezpečné a systém jim nikdy nebude důvěřovat.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: