En macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 y watchOS 3.2, se ha eliminado la compatibilidad con los certificados firmados SHA-1, que se usan para la seguridad de la capa de transporte (Transport Layer Security, TLS) en Safari y WebKit.
Con estas actualizaciones, se retirará el soporte técnico para todos los certificados emitidos desde una autoridad de certificado (CA) raíz incluidos en la tienda Trust Store predeterminada del sistema operativo. El resto de conexiones TLS seguirán admitiendo certificados firmados SHA-1 hasta finales de 2017.
Esta modificación no afecta a los certificados CA raíz firmados SHA-1, los certificados SHA-1 distribuidos por las empresas ni a los certificados SHA-1 instalados por los usuarios.
¿Qué ha cambiado?
En macOS Sierra 10.12.4 y iOS 10.3, Safari mostrará una notificación cuando un usuario se dirija a una página web que intente establecer una conexión TLS mediante un certificado firmado SHA-1. El usuario deberá hacer clic para cargar el sitio. Una vez cargado, este aparecerá como una conexión no segura en Safari.
En las aplicaciones que usan WebKit para conectarse a los sitios mediante TLS, aparecerá un mensaje de error si estos utilizan un certificado firmado SHA-1. Los desarrolladores deberán asegurarse de que sus aplicaciones gestionan este tipo de errores.
¿Qué tengo que hacer?
Tanto los desarrolladores como los operadores de sitios web deberán cambiar a certificados firmados SHA-256 lo antes posible para evitar que se muestren avisos a los usuarios al conectarse a sus sitios. Existen numerosos operadores CA que proporcionan certificados SHA-256.
Para obtener una lista de certificados CA raíz incluidos en la tienda Trust Store predeterminada de nuestras plataformas, consulta: