Este artículo se ha archivado y Apple ya no lo actualiza.

Cambiar a los certificados firmados SHA-256 para evitar problemas de conexión

Tanto los desarrolladores como los operadores y administradores de sitios web que utilizan certificados firmados SHA-1 para la seguridad de la capa de transporte deberían cambiar a certificados firmados SHA-256 lo antes posible.

Con las versiones de macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 y watchOS 3.2, se ha acabado la compatibilidad con los certificados firmados SHA-1, que se usan para la seguridad de la capa de transporte (Transport Layer Security, TLS) en Safari y WebKit. Con estas actualizaciones, se retirará el soporte técnico para todos los certificados emitidos desde una autoridad de certificado (CA) raíz incluidos en la tienda Trust Store predeterminada del sistema operativo.

macOS High Sierra 10.13, iOS 11, tvOS 11 y watchOS 4 (disponibles este otoño) ya no son compatibles con los certificados firmados SHA-1 para ninguna conexión TLS.

Este cambio no afecta a los certificados CA raíz firmados SHA-1, los certificados SHA-1 distribuidos por las empresas ni a los certificados SHA-1 instalados por los usuarios.

¿Qué ha cambiado?

En macOS Sierra 10.12.4 y posteriores, así como en iOS 10.3 y posteriores, Safari mostrará una notificación cuando un usuario se dirija a una página web que intente establecer una conexión TLS mediante un certificado firmado SHA-1. El usuario deberá hacer clic en dicha notificación para cargar el sitio. Una vez cargado, este aparecerá como una conexión no segura en Safari.

En las aplicaciones que usan WebKit para conectarse a los sitios mediante TLS, aparecerá un mensaje de error si estos utilizan un certificado firmado SHA-1. Los desarrolladores deben asegurarse de que sus aplicaciones gestionan este tipo de errores.

En macOS High Sierra 10.13, iOS 11, tvOS 11 y watchOS 4, se producirá un error de conexión en cualquier aplicación que intente establecer una conexión TLS mediante un certificado firmado SHA-1, incluidos los servidores que se usan para el correo electrónico, los calendarios, la VPN y otros servicios.

¿Qué tengo que hacer?

Tanto los desarrolladores como los operadores de sitios web y los administradores de servidores deberían cambiar a certificados firmados SHA-256 lo antes posible para evitar advertencias y fallos de conexión. Muchos operadores CA ofrecen certificados firmados SHA-256.

Para obtener una lista de certificados CA raíz incluidos en las tiendas Trust Store predeterminadas de nuestras plataformas, consulta:

Fecha de publicación: