Der Support für SHA-1-signierte Zertifikate, die für Transport Layer Security (TLS) in Safari und WebKit verwendet wurden, ist für macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 und watchOS 3.2 eingestellt worden.
Dieses Sicherheitsupdate entfernt die Unterstützung für alle Zertifikate, die von einer Root Certification Authority (CA) im standardmäßigen vertrauenswürdigen Speicher des Betriebssystems ausgestellt wurden. Alle anderen TLS-Verbindungen werden weiterhin SHA-1-signierte Zertifikate bis Ende 2017 unterstützen.
SHA-1-signierte Root CA-Zertifikate, in Unternehmen verteilte SHA-1-Zertifikate und durch den Benutzer installierte SHA-1-Zertifikate sind von dieser Änderung nicht betroffen.
Was wurde geändert?
In macOS Sierra 10.12.4 und iOS 10.3 wird Safari eine Mitteilung anzeigen, wenn ein Benutzer zu einer Webseite navigiert, die versucht, über ein SHA-1-signiertes Zertifikat eine TLS-Verbindung herzustellen. Der Benutzer muss zum Laden der Website klicken. Nach dem Laden der Website wird sie in Safari als eine unsichere Verbindung angezeigt.
Apps, die über WebKit eine Verbindung zu einer Website mit TLS herstellen möchten, zeigen eine Fehlermeldung an, wenn das Zertifikat der Website SHA-1-signiert ist. Entwickler müssen sicherstellen, dass ihre Apps mit dieser Fehlermeldung umgehen können.
Was muss ich machen?
Entwickler und Betreiber von Websites sollten sobald wie möglich auf SHA-256-signierte Zertifikate umsteigen, um zu vermeiden, dass Benutzern Warnmeldungen angezeigt werden, wenn sie deren Websites aufrufen. SHA-256-signierte Zertifikate werden von vielen CA-Betreibern angeboten.
Hier finden Sie Listen mit Root CA-Zertifikaten, die im standardmäßigen vertrauenswürdigen Speicher auf unseren Plattformen integriert sind: