Passaggio ai certificati firmati con SHA-256 per evitare errori di connessione

Gli sviluppatori, gli operatori dei siti web e gli amministratori dei server che utilizzano certificati firmati con SHA-1 per la sicurezza TLS devono passare il più presto possibile ai certificati firmati con SHA-256.

In Safari e WebKit il supporto per i certificati firmati con SHA-1 utilizzati per TLS (Transport Layer Security) è terminato con i rilasci di macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 e watchOS 3.2. Questi aggiornamenti hanno rimosso il supporto per tutti i certificati emessi da un'autorità di certificazione (CA) root inclusa nell'archivio predefinito dei certificati attendibili del sistema operativo.

macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4, che saranno disponibili il prossimo autunno, non supportano i certificati firmati con SHA-1 per le connessioni TLS.

I certificati CA root firmati con SHA-1, i certificati SHA-1 distribuiti dalle aziende e i certificati SHA-1 installati dagli utenti non subiranno ripercussioni.

Cos'è cambiato?

In macOS Sierra 10.12.4 e versioni successive e iOS 10.3 e versioni successive, Safari visualizza una notifica quando l'utente naviga in una pagina web che tenta di creare una connessione TLS utilizzando un certificato firmato con SHA-1. L'utente deve fare clic sulla notifica per caricare il sito. Una volta caricato, il sito viene visualizzato come connessione non sicura su Safari.

Le app che usano WebKit per connettersi a un sito tramite TLS visualizzeranno un errore se il certificato del sito è firmato con SHA-1. Gli sviluppatori devono assicurarsi che le proprie app riescano a gestire questi errori.

In macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4, se si tenta di creare una connessione TLS utilizzando un certificato firmato con SHA-1, la connessione non viene stabilita. Questo problema riguarda anche i server utilizzati per posta, calendari, VPN e altri servizi.

Cosa devo fare?

Per evitare avvisi ed errori di connessione, gli sviluppatori, gli operatori dei siti web e gli amministratori dei server devono passare il più presto possibile ai certificati firmati con SHA-256. Molti operatori di CA forniscono certificati firmati con SHA-256.

Per un elenco dei certificati CA root inclusi negli archivi predefiniti dei certificati attendibili delle nostre piattaforme, consulta:

• Elenchi dei certificati root attendibili disponibili in macOS

• Elenchi dei certificati root attendibili disponibili in iOS

• Elenchi dei certificati root attendibili disponibili in tvOS

• Elenchi dei certificati root attendibili disponibili in watchOS