Prijelaz na potpisane certifikate SHA-256 radi izbjegavanja prekida veze

Razvojni programeri, rukovatelji web-mjestima i administratori poslužitelja koji koriste potpisane certifikate SHA-1 za TLS sigurnost moraju što prije prijeći na potpisane certifikate SHA-256.

Podrška za potpisane certifikate SHA-1 koji se koriste za TLS (Transport Layer Security) u Safariju i WebKitu završava izdanjima sustava macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 i watchOS 3.2. Tim se ažuriranjima ukida podrška za sve certifikate izdane na temelju korijenskog CA certifikata koji sadrži zadana pouzdana trgovina za taj operacijski sustav.

macOS High Sierra 10.13, iOS 11, tvOS 11 i watchOS 4, koji će postati dostupni ove jeseni, ne podržavaju potpisane certifikate SHA-1 za TLS veze.

Ne odnosi se na potpisane korijenske CA certifikate SHA-1, certifikate SHA-1 za korporacijsku distribuciju i certifikate SHA-1 koje instaliraju korisnici.

Što se promijenilo?

U sustavu macOS Sierra 10.12.4 i novijem te iOS 10.3 i novijem Safari prikazuje obavijest kada korisnik prijeđe na web-stranicu koja pokušava stvoriti TLS vezu pomoću potpisanog certifikata SHA-1. Da bi učitao web-mjesto, korisnik mora kliknuti obavijest. Nakon učitavanja web-mjesto u Safariju izgleda kao nezaštićena veza.

Ako je certifikat web-mjesta potpisani SHA-1, u aplikacijama koje koriste WebKit za povezivanje s web-mjestima putem TLS veze prikazat će se pogreška. Razvojni programeri moraju predvidjeti način na koji aplikacije rukuju tim pogreškama.

U sustavima macOS High Sierra 10.13, iOS 11, tvOS 11 i watchOS 4 neće se moći povezati nijedna aplikacija koja pokuša stvoriti TLS vezu na temelju potpisanog certifikata SHA-1. Time su obuhvaćeni poslužitelji za e-mail, kalendari, VPN i ostali servisi.

Što učiniti?

Razvojni programeri, rukovatelji web-mjestima i administratori poslužitelja moraju što prije prijeći na potpisane certifikate SHA-256 da bi izbjegli upozorenja i prekide veze. Mnogi CA rukovatelji nude potpisane certifikate SHA-256.

Popis korijenskih CA certifikata u zadanim pouzdanim trgovinama na našim platformama pogledajte ovdje:

• Popisi dostupnih pouzdanih korijenskih certifikata u sustavu macOS

• Popisi dostupnih pouzdanih korijenskih certifikata u sustavu iOS

• Popisi dostupnih pouzdanih korijenskih certifikata u sustavu tvOS

• Popisi dostupnih pouzdanih korijenskih certifikata u sustavu watchOS