Safarin ja WebKitin TLS (Transport Layer Security) -suojauksessa käytettyjen SHA-1-allekirjoitettujen varmenteiden tuki on poistettu macOS Sierra 10.12.4:stä, iOS 10.3:sta, tvOS 10.2:sta ja watchOS 3.2:sta.
Nämä päivitykset poistivat tuen kaikista juurivarmenteista, jotka CA (Certification Authority) on sisällyttänyt käyttöjärjestelmän oletusarvoiseen Trust Storeen. Muut TLS-yhteydet tukevat SHA-1-allekirjoitettuja varmenteita loppuvuoteen 2017 saakka.
Tämä muutos ei koske SHA-1-allekirjoitettuja CA-varmenteita, yritysten SHA-1-varmenteita eikä käyttäjien itsensä asentamia SHA-1-varmenteita.
Mitä on muuttunut?
Suojauspäivityksen jälkeen Safari antaa ilmoituksen macOS Sierra 10.12.4:ssä ja iOS 10.3:ssa, kun käyttäjä siirtyy internet-sivustolle, joka yrittää muodostaa TLS-yhteyden SHA-1-allekirjoitetun varmenteen avulla. Käyttäjän täytyy hyväksyä sivuston lataaminen klikkaamalla. Lataamisen jälkeen sivusto näkyy suojaamattomana yhteytenä Safarissa.
Ohjelmissa, jotka yhdistävät sivustoon WebKitin ja TLS-yhteyden avulla, näkyy virheilmoitus sivuston varmenteen ollessa SHA-1-allekirjoitettu. Kehittäjien on varmistettava, että heidän ohjelmansa pystyvät käsittelemään näitä virheitä.
Miten toimin?
Kehittäjien ja sivustojen ylläpitäjien tulee siirtyä käyttämään SHA-256-allekirjoitettuja varmenteita mahdollisimman pian, jotta käyttäjät eivät saa varoituksia sivustoihin siirtyessään. SHA-256-allekirjoitettuja varmenteita tarjoavia CA-ylläpitäjiä on useita.
Luettelo Applen käyttöjärjestelmien oletusarvoisen Trust Storen CA-juurivarmenteista: