Ez egy archivált cikk, ezért az Apple egy ideje már nem frissíti.

Átállás SHA-256 típusú aláírt tanúsítványokra a csatlakozási problémák elkerülése érdekében

Azoknak a fejlesztőknek, webhelyrendszergazdáknak és kiszolgáló-rendszergazdáknak, akik SHA-1 által aláírt tanúsítványokat használnak a TLS-biztonsághoz, minél hamarabb át kell térniük SHA-256 aláírású tanúsítványokra.

Az SHA-1 által aláírt, a Safariban és a WebKitben a TLS-hez (Transport Layer Security) használt tanúsítványok megszűntek a macOS Sierra 10.12.4, az iOS 10.3, a tvOS 10.2 és a watchOS 3.2 rendszerrel. Ezek a frissítések megszüntették minden olyan tanúsítvány támogatását, amelyet egy gyökértanúsítvány-kiadó hatóság (CA) bocsátott rendelkezésre az adott operációs rendszer alapértelmezett megbízható áruházában.

A macOS High Sierra 10.13, az iOS 11, a tvOS 11 és a watchOS 4 – amelyek idén ősszel jelennek meg – nem támogatják SHA-1 aláírású tanúsítványokat semmilyen TLS-kapcsolat esetén.

A módosítás nem lesz hatással az SHA-1 által aláírt gyökértanúsítványokra, a vállalati kiadású SHA-1-tanúsítványokra, valamint a felhasználók által telepített SHA-1-tanúsítványokra.

Mi változott?

A macOS Sierra 10.12.4-es és újabb, illetve az iOS 10.3-as és újabb verziójában a Safari megjelenít egy értesítést, amikor a felhasználó egy olyan weboldalra navigál, amely egy SHA-1 által aláírt tanúsítvány segítségével kísérel meg TLS-kapcsolatot létesíteni. A felhasználónak az értesítésre kell kattintania a webhely betöltéséhez. A betöltés után a webhely nem biztonságos kapcsolatként jelenik meg a Safariban.

Egy hibaüzenet jelenik majd meg az olyan alkalmazások esetén, amelyek WebKit segítségével csatlakoznak a TLS-t használó webhelyekhez, ha az SHA-1 írta alá a webhelyek tanúsítványát. A fejlesztőknek érdemes biztosítaniuk, hogy az alkalmazásaik kezelni tudják majd az ilyen jellegű hibákat.

A macOS High Sierra 10.13, az iOS 11, a tvOS 11 és a watchOS 4 rendszerben nem fog tudni csatlakozni az az alkalmazás, amely SHA-1 aláírású tanúsítvánnyal kísérel meg TLS-kapcsolatot létesíteni. Ide tartoznak a levelezéshez, naptárkezeléshez, VPN-hez és egyéb szolgáltatásokhoz használt kiszolgálók.

Mik a teendőim?

A fejlesztőknek, webhelyrendszergazdáknak és kiszolgáló-rendszergazdáknak minél hamarabb át kell térniük SHA-256 aláírású tanúsítványokra a figyelmeztetések és a kapcsolódási problémák megakadályozása érdekében. Számos tanúsítványkiadó hatóság biztosít SHA-256 által aláírt tanúsítványokat.

Az alábbi cikkekben megtalálhatók a platformjaink alapértelmezett megbízható áruházában található gyökértanúsítványok:

Közzététel dátuma: