Vaihto SHA-256-allekirjoitettuihin varmenteisiin yhteysvirheiden välttämiseksi
SHA-1-allekirjoitettuja varmenteita TLS-suojaukseen käyttäviä kehittäjiä, sivustojen pääkäyttäjiä ja palvelimien järjestelmänvalvojia kehotetaan vaihtamaan SHA-256-allekirjoitettuihin varmenteisiin mahdollisimman pian.
Safarin ja WebKitin TLS (Transport Layer Security) -suojauksessa käytettyjen SHA-1-allekirjoitettujen varmenteiden tuki on päättynyt macOS Sierra 10.12.4:n, iOS 10.3:n, tvOS 10.2:n ja watchOS 3.2:n julkaisun myötä. Nämä päivitykset poistivat tuen kaikista juurivarmenteista, jotka CA (Certification Authority) on sisällyttänyt käyttöjärjestelmän oletusarvoiseen Trust Storeen.
macOS High Sierra 10.13, iOS 11, tvOS 11 ja watchOS 4, joka on saatavana tänä syksynä, eivät tue SHA-1-allekirjoitettuja varmenteita millään TLS-yhteyksillä.
Tämä muutos ei koske SHA-1-allekirjoitettuja CA-varmenteita, yritysten SHA-1-varmenteita eikä käyttäjien itsensä asentamia SHA-1-varmenteita.
Mitä on muuttunut?
Safari antaa ilmoituksen macOS Sierra 10.12.4:ssä ja uudemmissa ja iOS 10.3:ssa ja uudemmissa, kun käyttäjä siirtyy internet-sivustolle, joka yrittää muodostaa TLS-yhteyden SHA-1-allekirjoitetun varmenteen avulla. Käyttäjän on napsautetttava ilmoitusta, jotta sivusto ladataan. Lataamisen jälkeen sivusto näkyy suojaamattomana yhteytenä Safarissa.
Ohjelmissa, jotka yhdistävät sivustoon WebKitin ja TLS-yhteyden avulla, näkyy virheilmoitus sivuston varmenteen ollessa SHA-1-allekirjoitettu. Kehittäjien on varmistettava, että heidän ohjelmansa pystyvät käsittelemään näitä virheitä.
macOS High Sierra 10.13:ssa, iOS 11:ssä, tvOS 11:ssä ja watchOS 4:ssä yhteyden muodostus epäonnistuu kaikissa TLS-yhteyden muodostamista SHA-1-allekirjoitetulla varmenteella yrittävillä sovelluksilla. Tämä koskee myös sähköposti-, kalenteri- ja VPN-palvelimia sekä muiden palvelujen palvelimia.
Miten toimin?
Kehittäjien, sivustojen pääkäyttäjien ja palvelinten järjestelmänvalvojien on vaihdettava SHA-256-allekirjoitettuihin varmenteisiin mahdollisimman pian, jotta varoituksia ja yhteysvirheitä ei ilmene. Useilla CA-pääkäyttäjillä on SHA-256-allekirjoitettuja varmenteita.
Luettelo Applen käyttöjärjestelmien oletusarvoisen Trust Storen CA-juurivarmenteista: