Støtte for SHA-1-signerte sertifikater, brukt TLS (Transport Layer Security) i Safari og WebKit, er fjernet i macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 og watchOS 3.2.
Sikkerhetsoppdateringene fjerner støtten for alle sertifikater som er utstedt fra en rotsertifikatautoritet (CA) som er inkludert i standard Trust Store for operativsystemer. Alle andre TLS-tilkoblinger fortsetter å støtte SHA-1-signerte sertifikater til sent 2017.
SHA-1-signerte CA-rotsertifikater, bedriftsdistribuerte SHA-1-sertifikater og brukerinstallerte SHA-1-sertifikater berøres ikke av denne endringen.
Hva er endret?
I macOS Sierra 10.12.4 og iOS 10.3 sender Safari en varsling når en bruker går til et nettsted som prøver å opprette en TLS-tilkobling via et SHA-1-signert sertifikat. Brukeren må klikke for å laste siden. Etter lastingen, vises siden som en usikker tilkobling i Safari.
Apper som bruker WebKit til å koble til et nettsted via TLS, mottar en feil hvis sertifikatet til nettstedet er SHA-1-signert. Utviklere må sørge for at appene kan håndtere disse feilene.
Hva må jeg gjøre?
Utviklere og nettstedsoperatører bør endre til SHA-256-signerte sertifikater så fort som mulig for å forhindre at brukere får advarsler når de koblet til nettstedene. Det er mange CA-operatører som tilbyr SHA-256-signerte sertifikater.
Du finner er oversikt over CA-rotsertifikater som er inkludert i Trust Store for plattformene våre her: