Flytning til signerede SHA-256-certifikater for at undgå forbindelsesfejl
Udviklere, webstedsadministratorer og serveradministratorer, der bruger signerede SHA-1-certifikater til TLS-sikkerhed, bør flytte til signerede SHA-256-certifikater så hurtigt som muligt.
Signerede SHA-1-certifikater, som bruges til Transport Layer Security (TLS) i Safari og WebKit, understøttes ikke længere i udgivelserne macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 og watchOS 3.2. Disse opdateringer fjerner understøttelsen af alle certifikater, som er udstedt fra et rodnøglecenter i operativsystemets standardtillidslager.
macOS High Sierra 10.13, iOS 11, tvOS 11 og watchOS 4 – der bliver tilgængelig til efteråret – understøtter ikke signerede SHA-1-certifikater for TLS-forbindelser.
Signerede SHA-1-rodnøglecentercertifikater, virksomhedsdistribuerede SHA-1-certifikater og SHA-1-certifikater installeret af brugere påvirkes ikke.
Hvad er ændret?
I macOS Sierra 10.12.4 og nyere versioner og iOS 10.3 og nyere versioner vil Safari vise en meddelelse, når en bruger navigerer til en webside, der forsøger at oprette en TLS-forbindelse via et signeret SHA-1-certifikat. Brugeren skal klikke på meddelelsen for at indlæse webstedet. Når webstedet er indlæst, vises det som en usikker forbindelse i Safari.
Apps, der bruger WebKit til at oprette forbindelse til et websted via TLS, vil støde på fejl, hvis webstedets certifikat er signeret SHA-1. Udviklere skal sikre, at deres apps kan håndtere disse fejl.
I macOS High Sierra 10.13, iOS 11, tvOS 11 og watchOS 4 kan der ikke oprettes forbindelse til apps, der forsøger at oprette en TLS-forbindelse via et signeret SHA-1-certifikat. Dette omfatter servere til e-mails, kalendere, VPN og andre tjenester.
Hvad skal jeg gøre?
Udviklere, webstedsadministratorer og serveradministratorer bør flytte til signerede SHA-256-certifikater så hurtigt som muligt for at undgå advarsel og forbindelsesfejl. Mange nøglecenteroperatorer udbyder signerede SHA-256-certifikater.
Du kan se en liste over rodnøglecentercertifikater, som er inkluderet i standardtillidslagrene på vores platforme her: