Podpora pro certifikáty podepsané přes SHA-1, používané pro protokol TLS (Transport Layer Security) v Safari a WebKitu, byla v macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 a watchOS 3.2 odstraněna.
Tyto aktualizace odeberou podporu všech certifikátů vydaných kořenovými certifikačními autoritami uvedenými v systémovém úložišti důvěryhodných certifikátů. Všechna ostatní TLS spojení budou certifikáty podepsané přes SHA-1 podporovat až do konce roku 2017.
Tato změna nemá vliv na certifikáty kořenových autorit podepsané přes SHA-1, na SHA-1 certifikáty distribuované firmami ani na SHA-1 certifikáty nainstalované uživatelem.
Co se změnilo?
Po instalaci chystané bezpečností aktualizace bude Safari v macOS Sieře 10.12.4 a iOS 10.3 zobrazovat upozornění, kdykoli uživatel otevře stránku, která se pokusí navázat TLS spojení pomocí certifikátu podepsaného přes SHA-1. Uživatel bude muset kliknout, aby se stránka načetla. Po načtení se stránka bude v Safari zobrazovat jako nezabezpečené spojení.
Pokud se nějaká aplikace pokusí pomocí WebKitu připojit přes TLS ke vzdálenému webu, který používá certifikát podepsaný přes SHA-1, dojde k chybě. Vývojáři budou muset zajistit, aby v jejich aplikacích k této chybě nedocházelo.
Co musím udělat?
Vývojáři a provozovatelé webových stránek by co nejrychleji měli přejít na certifikáty podepsané přes SHA-256, aby se uživatelům při navštěvování jejich webů nezobrazovaly chyby. Existuje spousta certifikačních autorit, které nabízejí certifikáty podepsané přes SHA-256.
Následující odkazy uvádějí seznam kořenových certifikátů obsažených v úložištích důvěryhodných certifikátů na našich platformách: