Signerede SHA-1-certifikater, som bruges til Transport Layer Security (TLS) i Safari og WebKit, understøttes ikke længere i macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 og watchOS 3.2.
Disse opdateringer fjerner understøttelsen af alle certifikater, som er udstedt fra et rodnøglecenter i operativsystemets standardtillidslager. Alle andre TLS-forbindelser vil fortsat understøtte signerede SHA-1-certifikater indtil udgangen af 2017.
Signerede SHA-1-rodnøglecentercertifikater, virksomhedsdistribuerede SHA-1-certifikater og SHA-1-certifikater installeret af brugere påvirkes ikke af denne ændring.
Hvad er blevet ændret?
I macOS Sierra 10.12.4 og iOS 10.3 vil Safari vise en meddelelse, når en bruger navigerer til en webside, der forsøger at oprette en TLS-forbindelse via et signeret SHA-1-certifikat. Brugeren skal derfor klikke for at indlæse webstedet. Når webstedet er indlæst, vises det som en usikker forbindelse i Safari.
Apps, der bruger WebKit til at oprette forbindelse til et websted via TLS, vil støde på fejl, hvis webstedets certifikat er signeret SHA-1. Udviklere skal sikre, at deres apps kan håndtere disse fejl.
Hvad skal jeg gøre?
Udviklere og webstedsadministratorer bør skifte til signerede SHA-256-certifikater så hurtigt som muligt for at forhindre, at deres brugere støder på advarsler, når de vil oprette forbindelse til deres websteder. Der er mange udbydere af nøglecentre, som tilbyder signerede SHA-256-certifikater.
Du kan se en liste over rodnøglecentercertifikater, som er inkluderet i standardtillidslageret på vores platforme her: