Μετάβαση σε υπογεγραμμένα πιστοποιητικά SHA-256 για την αποφυγή αποτυχιών σύνδεσης
Οι προγραμματιστές, διαχειριστές ιστότοπων και διαχειριστές διακομιστών που χρησιμοποιούν υπογεγραμμένα πιστοποιητικά SHA-1 για ασφάλεια TLS θα πρέπει να μεταβούν σε υπογεγραμμένα πιστοποιητικά SHA-256 το συντομότερο δυνατό.
Η υποστήριξη για υπογεγραμμένα πιστοποιητικά SHA-1 που χρησιμοποιούνται για ασφάλεια Transport Layer Security (TLS) στο Safari και WebKit έληξε με τις εκδόσεις των macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 και watchOS 3.2. Αυτές οι ενημερώσεις κατάργησαν την υποστήριξη για όλα τα πιστοποιητικά που εκδίδονται από μια αρχή έκδοσης πιστοποιητικών (CA)ρίζας που περιλαμβάνεται στον προεπιλεγμένο χώρο πιστοποιητικών του λειτουργικού συστήματος.
Τα macOS High Sierra 10.13, iOS 11, tvOS 11 και watchOS 4, που θα είναι διαθέσιμα αυτό το φθινόπωρο, δεν υποστηρίζουν υπογεγραμμένα πιστοποιητικά SHA-1 για οποιεσδήποτε συνδέσεις TLS.
Τα υπογεγραμμένα πιστοποιητικά SHA-1 CA ρίζας, τα πιστοποιητικά SHA-1 εταιρικής διανομής και τα πιστοποιητικά SHA-1 εγκατάστασης από το χρήστη δεν επηρεάζονται.
Τι άλλαξε;
Στο macOS Sierra 10.12.4 και νεότερες εκδόσεις και στο iOS 10.3 και νεότερες εκδόσεις, το Safari εμφανίζει μια γνωστοποίηση όταν ένας χρήστης κάνει περιήγηση σε μια ιστοσελίδα που προσπαθεί να δημιουργήσει μια σύνδεση TLS χρησιμοποιώντας ένα υπογεγραμμένο πιστοποιητικό SHA-1. Ο χρήστης πρέπει να κάνει κλικ στη γνωστοποίηση για να φορτώσει ο ιστότοπος. Μετά τη φόρτωση, ο ιστότοπος εμφανίζεται ως μη ασφαλής σύνδεση στο Safari.
Οι εφαρμογές που χρησιμοποιούν το WebKit για τη σύνδεση σε έναν ιστότοπο με χρήση TLS θα λαμβάνουν ένα σφάλμα εάν το πιστοποιητικό του ιστότοπου είναι υπογεγραμμένο πιστοποιητικό SHA-1. Οι προγραμματιστές πρέπει να διασφαλίσουν ότι οι εφαρμογές τους διαχειρίζονται αυτά τα σφάλματα.
Στα macOS High Sierra 10.13, iOS 11, tvOS 11 και watchOS 4, οποιαδήποτε εφαρμογή προσπαθεί να δημιουργήσει μια σύνδεση TLS με χρήση υπογεγραμμένου πιστοποιητικού SHA-1 θα αποτυγχάνει να συνδεθεί. Περιλαμβάνονται διακομιστές που χρησιμοποιούνται για αλληλογραφία, ημερολόγια, VPN και άλλες υπηρεσίες.
Τι πρέπει να κάνω;
Οι προγραμματιστές, διαχειριστές ιστότοπων και διαχειριστές διακομιστών πρέπει να μεταβούν σε υπογεγραμμένα πιστοποιητικά SHA-256 το συντομότερο δυνατό για την αποφυγή προειδοποιήσεων και αποτυχιών σύνδεσης. Πολλές υπηρεσίες CA παρέχουν υπογεγραμμένα πιστοποιητικά SHA-256.
Για μια λίστα πιστοποιητικών CA ρίζας που περιλαμβάνονται στους προεπιλεγμένους χώρους πιστοποιητικών στις πλατφόρμες μας, ανατρέξτε στις διευθύνσεις: