Lijsten met beschikbare, vertrouwde rootcertificaten in macOS

De vertrouwde opslag in macOS bevat vertrouwde rootcertificaten die vooraf zijn geïnstalleerd in macOS.

Vertrouwen voor WoSign CA Free SSL Certificate G2 wordt geblokkeerd

De certificaatautoriteit WoSign heeft meerdere controlefouten ondervonden in het certificaatverstrekkingsproces voor WoSign CA Free SSL Certificate G2 intermediate CA. Hoewel er geen WoSign-rootcertificaat aanwezig is in de lijst met door Apple vertrouwde roots, gebruikte deze intermediate CA cross-signed certificate-relaties met StartCom en Comodo om vertrouwen te realiseren in Apple producten.

Naar aanleiding van deze bevindingen hebben we actie ondernomen om gebruikers te beschermen via een beveiligingsupdate. Het certificaat WoSign CA Free SSL Certificate G2 intermediate CA wordt niet meer vertrouwd door Apple producten.

Om verstoringen te voorkomen bij bestaande WoSign-certificaathouders en de overgang naar vertrouwde roots mogelijk te maken, vertrouwen Apple producten afzonderlijke bestaande certificaten die door deze intermediate CA zijn uitgegeven en tot 19-9-2016 zijn gepubliceerd op openbare log-servers voor Certificate Transparency. Deze zullen worden vertrouwd tot ze vervallen, worden ingetrokken of het vertrouwen ervan door Apple wordt stopgezet.

Naarmate het onderzoek vordert, zullen we verdere actie ondernemen in verband met vertrouwensankers van WoSign/StartCom in Apple producten, als dat nodig is om gebruikers te beschermen.

Vervolgstappen voor WoSign

In aanvulling op de meerdere controlefouten in de werking van de WoSign CA is na verder onderzoek vastgesteld dat WoSign de acquisitie van StartCom niet heeft bekendgemaakt.

We treffen verdere maatregelen om gebruikers te beschermen via een aankomende beveiligingsupdate. Apple producten blokkeren certificaten van WoSign- en StartCom root-CA's als de 'Not Before'-datum 1 december 2016 00:00:00 GMT/UTC of later is.

Info over vertrouwen en certificaten

Elke hieronder vermelde vertrouwde opslag in macOS bevat drie categorieën van certificaten:

• Vertrouwde certificaten worden gebruikt om een vertrouwensketen tot stand te brengen voor de verificatie van andere certificaten die zijn ondertekend door de vertrouwde roots. Hierbij gaat het bijvoorbeeld om het maken van een beveiligde verbinding met een webserver. Wanneer IT-beheerders configuratieprofielen voor macOS maken, hoeven deze vertrouwde rootcertificaten hierin niet worden opgenomen.

• Vraag altijd-certificaten worden niet vertrouwd maar zijn niet geblokkeerd. Wanneer een van deze certificaten wordt gebruikt, wordt u gevraagd of u het wilt vertrouwen.

• Geblokkeerde certificaten worden als een gevaar beschouwd en worden nooit vertrouwd.

Vertrouwde opslag in macOS

• Lijst met beschikbare, vertrouwde rootcertificaten in iOS 12, macOS 10.14, watchOS 5 en tvOS 12

• Lijst met beschikbare, vertrouwde rootcertificaten in macOS High Sierra

• Lijst met beschikbare, vertrouwde rootcertificaten in macOS Sierra

• Lijst met beschikbare, vertrouwde rootcertificaten in OS X El Capitan

• Lijst met beschikbare, vertrouwde rootcertificaten in OS X Yosemite

• Lijst met beschikbare, vertrouwde rootcertificaten in OS X Mavericks