Overgaan op SHA-256-ondertekende certificaten om verbindingsfouten te vermijden

Ontwikkelaars, websitebeheerders en serverbeheerders die SHA-1-ondertekende certificaten voor de TLS-beveiliging gebruiken moeten zo snel mogelijk overgaan op SHA-256-ondertekende certificaten.

De ondersteuning voor SHA-1-ondertekende certificaten, die in Safari en WebKit werden gebruikt voor TLS (Transport Layer Security), is beëindigd met de release van macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 en watchOS 3.2. Door deze updates wordt de ondersteuning stopgezet voor alle certificaten die worden afgegeven door een root-Certification Authority (CA) die is opgenomen in de standaard vertrouwde opslag van het besturingssysteem.

macOS High Sierra 10.13, iOS 11, tvOS 11 en watchOS 4 (vanaf deze herfst beschikbaar) bieden geen ondersteuning voor SHA-1-ondertekende certificaten voor geen enkele TLS-verbinding.

Dit is niet van invloed op SHA-1-ondertekende root-CA-certificaten, bedrijfsgedistribueerde SHA-1-certificaten en gebruikergeïnstalleerde SHA-1-certificaten.

Wat is er veranderd?

In macOS Sierra 10.12.4 en hoger en iOS 10.3 en hoger verschijnt een melding in Safari wanneer een gebruiker naar een webpagina navigeert die een TLS-verbinding tot stand probeert te brengen via een SHA-1-ondertekend certificaat. De gebruiker moet op de melding klikken om de site te laden. Na het laden wordt de site weergegeven als een onveilige verbinding in Safari.

Voor apps die WebKit gebruiken om via TLS verbinding te maken met een site, zal een foutmelding worden weergegeven als het certificaat van de site SHA-1-ondertekend is. Ontwikkelaars moeten ervoor zorgen dat hun apps zijn voorbereid op deze fouten.

In macOS High Sierra 10.13, iOS 11, tvOS 11 en watchOS 4 zullen alle pogingen van apps om een TLS-verbinding te maken via een SHA-1-ondertekend certificaat mislukken. Hiertoe behoren de servers voor e-mail, agenda's, VPN en andere services.

Wat moet ik doen?

Ontwikkelaars, websitebeheerders en serverbeheerders moeten zo snel mogelijk overgaan op SHA-256-ondertekende certificaten om waarschuwingen en verbindingsfouten te vermijden. Veel CA-aanbieders bieden SHA-256-ondertekende certificaten.

Raadpleeg de onderstaande informatie voor een lijst met root-CA-certificaten die zijn opgenomen in de standaard vertrouwde opslag op onze platformen:

• Lijsten met beschikbare, vertrouwde rootcertificaten in macOS

• Lijsten met beschikbare, vertrouwde rootcertificaten in iOS

• Lijsten met beschikbare, vertrouwde rootcertificaten in tvOS

• Lijsten met beschikbare, vertrouwde rootcertificaten in watchOS