In macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 e watchOS 3.2, è stato rimosso il supporto per i certificati firmati con SHA-1, usati per il TLS (Transport Layer Security) in Safari e WebKit.
Questi aggiornamenti hanno rimosso il supporto per tutti i certificati emessi da un'autorità di certificazione (CA) root inclusa nell'archivio predefinito dei certificati attendibili del sistema operativo. Tutte le altre connessioni TLS continueranno a supportare i certificati firmati con SHA-1 fino a fine 2017.
I certificati CA root firmati con SHA-1, i certificati SHA-1 distribuiti dalle aziende e i certificati SHA-1 installati dagli utenti non verranno influenzati dalla modifica.
Modifiche apportate
In macOS Sierra 10.12.4 e iOS 10.3, Safari visualizza una notifica quando l'utente naviga in una pagina web che tenta di creare una connessione TLS utilizzando un certificato firmato con SHA-1. L'utente deve fare clic per caricare il sito. Una volta caricato, il sito viene visualizzato come connessione non sicura su Safari.
Le app che usano WebKit per connettersi a un sito tramite TLS visualizzeranno un errore se il certificato del sito è firmato con SHA-1. Gli sviluppatori dovranno assicurarsi che le proprie app riescano a gestire questi errori.
Cosa devo fare?
Gli sviluppatori e gli operatori dei siti web devono passare a certificati firmati con SHA-256 il più presto possibile per evitare che i clienti ricevano avvisi quando si connettono ai loro siti. Esistono molti operatori CA che forniscono certificati firmati con SHA-256.
Per un elenco dei certificati CA root inclusi nell'archivio predefinito dei certificati attendibili delle nostre piattaforme, consulta: