Wechsel zu SHA-256-signierten Zertifikaten, um Verbindungsprobleme zu vermeiden

Entwickler, Websitebetreiber und Serveradministratoren, die SHA-1-signierte Zertifikate für TLS-Sicherheit verwenden, sollten so bald wie möglich zu SHA-256-signierten Zertifikaten wechseln.

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Die Unterstützung für SHA-1-signierte Zertifikate, die für Transport Layer Security (TLS) in Safari und WebKit verwendet wurden, wurde seit macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 und watchOS 3.2 eingestellt. Mit diesen Updates wurde die Unterstützung für alle Zertifikate entfernt, die von einer Root Certification Authority (CA) ausgegeben werden, die im standardmäßigen vertrauenswürdigen Speicher des Betriebssystems integriert ist. 

Das ab diesem Herbst verfügbare macOS High Sierra 10.13, iOS 11, tvOS 11 und watchOS 4 unterstützen keine SHA-1-signierten Zertifikate für TLS-Verbindungen. 

SHA-1-signierte Root CA-Zertifikate, in Unternehmen verteilte SHA-1-Zertifikate und durch Benutzer installierte SHA-1-Zertifikate sind nicht betroffen. 

Was hat sich geändert?

In macOS Sierra 10.12.4 und neuer sowie iOS 10.3 und neuer zeigt Safari eine Mitteilung an, wenn ein Benutzer zu einer Webseite navigiert, die versucht, über ein SHA-1-signiertes Zertifikat eine TLS-Verbindung herzustellen. Der Benutzer muss die Mitteilung anklicken, um die Website zu laden. Nach dem Laden der Website wird sie in Safari als eine unsichere Verbindung angezeigt.

Apps, die über WebKit eine Verbindung zu einer Website mit TLS herstellen möchten, zeigen eine Fehlermeldung an, wenn das Zertifikat der Website SHA-1-signiert ist. Entwickler müssen sicherstellen, dass ihre Apps mit diesen Fehlern umgehen können.

In macOS High Sierra 10.13, iOS 11, tvOS 11 und watchOS 4 wird bei jeder App, die versucht, mit einem SHA-1-signierten Zertifikat eine TLS-Verbindung aufzubauen, die Verbindung fehlschlagen. Dazu zählen Server, die für Mail, Kalender, VPN und andere Dienste verwendet werden.

Was muss ich machen?

Entwickler, Websitebetreiber und Serveradministratoren sollten so bald wie möglich zu SHA-256-signierten Zertifikaten wechseln, um Warnungen und Verbindungsfehler zu vermeiden. Viele CA-Betreiber bieten SHA-256-signierte Zertifikate an.

Hier finden Sie Listen mit Root CA-Zertifikaten, die in den standardmäßigen vertrauenswürdigen Speichern auf unseren Plattformen integriert sind:

Veröffentlichungsdatum: