Overgang til SHA-256-signerte sertifikater for å unngå tilkoblingsfeil

Utviklere, nettstedseiere og serveradministratorer som bruker SHA-1-signerte sertifikater for TLS-sikkerhet, bør gå over til SHA-256-signerte sertifikater så fort som mulig.

Støtte for SHA-1-signerte sertifikater for TLS (Transport Layer Security) i Safari og WebKit er avviklet fra og med macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 og watchOS 3.2. Disse oppdateringene fjernet støtten for alle sertifikater som er utstedt av en rotsertifiseringsinstans som er inkludert i operativsystemets standard Trust Store.

macOS High Sierra 10.13, iOS 11, tvOS 11 og watchOS 4, som lanseres denne høsten, støtter ikke SHA-1-signerte sertifikater for noen TLS-tilkoblinger.

SHA-1-signerte sertifikater fra rotsertifiseringsinstanser, bedriftsdistribuerte SHA-1-sertifikater og brukerinstallerte SHA-1-sertifikater påvirkes ikke.

Hva er nytt?

I macOS Sierra 10.12.4 og nyere samt i iOS 10.3 og nyere viser Safari et varsel når en bruker går til et nettsted som prøver å opprette en TLS-tilkobling med et SHA-1-signert sertifikat. Brukeren må klikke på varselet for å laste inn nettstedet. Etter innlastingen vises nettstedet som en usikker tilkobling i Safari.

Apper som bruker WebKit til å koble seg til et nettsted med TLS, mottar en feil hvis sertifikatet til nettstedet er SHA-1-signert. Utviklere må sørge for at appene deres kan håndtere disse feilene.

I macOS High Sierra 10.13, iOS 11, tvOS 11 og watchOS 4 mislykkes tilkoblingen for alle apper som prøver å opprette en TLS-tilkobling med et SHA-1-signert sertifikat. Dette omfatter servere som brukes til e-post, kalendere, VPN og andre tjenester.

Hva må jeg gjøre?

Utviklere, nettstedseiere og serveradministratorer bør gå over til SHA-256-signerte sertifikater så fort som mulig for å unngå advarsler og tilkoblingsfeil. Mange sertifiseringsinstanser tilbyr SHA-256-signerte sertifikater.

Her finner du en oversikt over sertifikatene fra rotsertifiseringsinstanser som er inkludert i Trust Store på plattformene våre:

• Oversikt over tilgjengelige godkjente rotsertifikater i macOS

• Oversikt over tilgjengelige godkjente rotsertifikater i iOS

• Oversikt over tilgjengelige godkjente rotsertifikater i tvOS

• Oversikt over tilgjengelige godkjente rotsertifikater i watchOS