Lister over tilgjengelige godkjente rotsertifikater i watchOS

watchOS Trust Store inneholder godkjente rotsertifikater som blir forhåndsinstallert sammen med watchOS.

Blokkering av godkjenning for WoSign CA Free SSL Certificate G2

Sertifikatautoriteten WoSign opplevde flere kontrollfeil i prosessen for sertifikatutstedelse for sertifikatet WoSign CA Free SSL Certificate G2 mellomliggende CA. Det er ingen rotsertifikater fra WoSign i listen over godkjente Apple-rotsertifikater, men dette mellomliggende CA-sertifikatet brukte kryssignerte sertifikatsforhold med StartCom og Comodo til å bli godkjent på Apple-produkter.

Som en følge av disse funnene, innfører vi tiltak for å beskytte brukerne i en sikkerhetsoppdatering. Apple-produkter godkjenner ikke lenger sertifikatet WoSign CA Free SSL Certificate G2 mellomliggende CA.

For å unngå avbrudd for eksisterende innehavere av WoSign-sertifikater, og muliggjøre en overgang til pålitelige rotsertifikater, godkjenner Apple individuelle eksisterende sertifikater som er utstedt fra dette mellomliggende CA-sertifikatet og publisert på offentlige Certificate Transparency log-servere innen 19.09.2016. De forblir godkjente til de utløper, oppheves eller ikke lenger godkjennes av Apple etter eget forgodtbefinnende.

Vi fortsetter undersøkelsene og innfører ytterligere tiltak for WoSign-/StartCom-rotsertifikater i Apple-produkter hvis det er nødvendig for å beskytte brukerne.

Flere trinn for WoSign

Etter videre undersøkelser har vi kommet fram til at i tillegg til flere kontrollfeil i driften av WoSign-sertifikatautoriteter (CA), videreformidlet ikke WoSign tilegnelse av StartCom.

Vi utfører videre handlinger for å beskytte brukere i en kommende sikkerhetsoppdatering. Apple-produkter blokkerer sertifikater fra WoSign- og StartCom-CA-rotsertifikater hvis «Ikke før»-datoen er på eller etter 1. desember 2016 00:00:00 GMT/UTC.

Om godkjenning og sertifikater

Hver watchOS Trust Store som er oppført nedenfor, inneholder tre kategorier med sertifikater:

  • Godkjente sertifikater etablerer en tillitskjede som bekrefter andre sertifikater som er signert av klarerte røtter, for eksempel for å etablere en sikker forbindelse til en nettjener. Når IT-administratorer oppretter konfigurasjonsprofiler for watchOS, er det ikke nødvendig å inkludere disse godkjente rotsertifikatene.
  • Spør alltid-sertifikater er ikke-godkjente, men er ikke blokkerte.
  • Blokkerte sertifikater anses for å være kompromitterte og vil aldri bli godkjent.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: