La prise en charge des certificats signés SHA-1, utilisés pour le protocole TLS (Transport Layer Security) dans Safari et WebKit, a été supprimée dans macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 et watchOS 3.2.
Ces mises à jour mettent fin à la prise en charge de tous les certificats émis depuis une autorité de certification (CA) racine incluse dans le magasin de certificats par défaut du système d’exploitation. Toutes les autres connexions TLS continueront de prendre en charge les certificats signés SHA-1 jusqu’à la fin de l’année 2017.
Les certificats CA racine signés SHA-1, les certificats SHA-1 distribués par des entreprises et les certificats SHA-1 installés par les utilisateurs ne sont pas concernés par cette modification.
Qu’est-ce qui a changé ?
Dans macOS Sierra 10.12.4 et iOS 10.3, Safari affiche une notification lorsqu’un utilisateur accède à une page Web qui tente d’établir une connexion TLS à l’aide d’un certificat signé SHA-1. L’utilisateur devra cliquer pour charger le site. Après le chargement, le site s’affichera en tant que connexion non sécurisée dans Safari.
Les apps qui utilisent WebKit pour se connecter à un site à l’aide de TLS recevront un message d’erreur si le certificat du site est un certificat signé SHA-1. Les développeurs devront s’assurer que leurs apps peuvent gérer ces erreurs.
Que dois-je faire ?
Les développeurs et les opérateurs de sites Web doivent passer aux certificats signés SHA-256 le plus rapidement possible afin d’éviter que les utilisateurs ne reçoivent des messages d’avertissement lorsqu’ils se connectent à leurs sites. Beaucoup d’opérateurs CA fournissent des certificats signés SHA-256.
Pour consulter une liste des certificats CA racine dans le magasin de certificats par défaut sur nos plates-formes, reportez-vous aux articles suivants :