Ondersteuning voor SHA-1-ondertekende certificaten die werden gebruikt voor TLS (Transport Layer Security) in Safari en WebKit, zijn verwijderd in macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 en watchOS 3.2.
Door deze updates wordt de ondersteuning verwijderd voor alle certificaten die worden afgegeven door een root-Certification Authority (CA) die is opgenomen in de standaard vertrouwde opslag van het besturingssysteem. Alle andere TLS-verbindingen blijven SHA-1-ondertekende certificaten ondersteunen tot eind 2017.
Deze wijziging is niet van invloed op SHA-1-ondertekende root-CA-certificaten, bedrijfsgedistribueerde SHA-1-certificaten en gebruikergeïnstalleerde SHA-1-certificaten.
Wat is er gewijzigd?
Na deze toekomstige beveiligingsupdate wordt er in macOS Sierra 10.12.4 en iOS 10.3 een melding weergegeven in Safari wanneer een gebruiker navigeert naar een webpagina die probeert een TLS-verbinding tot stand te brengen via een SHA-1-ondertekend certificaat. De gebruiker moet dan klikken om de site te laden. Na het laden wordt de site weergegeven als een onveilige verbinding in Safari.
Voor apps die WebKit gebruiken om via TLS verbinding te maken met een site, zal een foutmelding worden weergegeven als het certificaat van de site SHA-1-ondertekend is. Ontwikkelaars moeten ervoor zorgen dat hun apps zijn voorbereid op deze fouten.
Wat moet ik doen?
Ontwikkelaars en websitebeheerders moeten zo snel mogelijk overgaan op SHA-256-ondertekende certificaten om te voorkomen dat gebruikers foutmeldingen te zien krijgen wanneer ze verbinding maken met sites. Er zijn veel CA-aanbieders die SHA-256-ondertekende certificaten verstrekken.
Bekijk de onderstaande informatie voor een lijst met root-CA-certificaten die zijn opgenomen in de standaard vertrouwde opslag op onze platformen: