Ten artykuł został zarchiwizowany i nie jest już aktualizowany przez firmę Apple.

Przechodzenie na certyfikaty podpisane algorytmem SHA-256 w celu uniknięcia błędów połączeń

Deweloperzy, operatorzy witryn internetowych i administratorzy serwerów używający certyfikatów podpisanych algorytmem SHA-1 do połączeń TLS powinni możliwie najszybciej przejść na certyfikaty podpisane algorytmem SHA-256.

Obsługa certyfikatów podpisanych algorytmem SHA-1, używanych do połączeń TLS (Transport Layer Security) w przeglądarce Safari i silniku WebKit, została zakończona wraz z wydaniem systemów macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 i watchOS 3.2. Te uaktualnienia usunęły obsługę dla wszystkich certyfikatów wydanych przez główny urząd certyfikacji zawartych w domyślnym magazynie zaufania systemu operacyjnego.

Systemy macOS High Sierra 10.13, iOS 11, tvOS 11 i watchOS 4 — dostępne już tej jesieni — nie obsługują certyfikatów podpisanych algorytmem SHA-1 dla żadnych połączeń TLS.

Nie wpływa to na certyfikaty główne urzędu certyfikacji podpisane algorytmem SHA-1, certyfikaty SHA-1 rozprowadzane przez przedsiębiorstwa ani certyfikaty SHA-1 zainstalowane przez użytkownika.

Co się zmieniło?

W przeglądarce Safari w systemach macOS Sierra 10.12.4 i nowszych oraz iOS 10.3 i nowszych jest wyświetlane powiadomienie, gdy użytkownik przejdzie do strony internetowej próbującej utworzyć połączenie TLS przy użyciu certyfikatu podpisanego algorytmem SHA-1. Użytkownik musi kliknąć powiadomienie w celu wczytania witryny. Po wczytaniu witryna będzie wyświetlana jako niezabezpieczone połączenie w przeglądarce Safari.

W aplikacjach używających silnika WebKit do łączenia się z witryną przy użyciu połączenia TLS pojawi się błąd, jeśli certyfikat witryny jest podpisany algorytmem SHA-1. Deweloperzy aplikacji muszą się upewnić, że ich aplikacje potrafią odpowiednio obsłużyć te błędy.

W systemach macOS High Sierra 10.13, iOS 11, tvOS 11 i watchOS 4 każda próba utworzenia przez aplikację połączenia TLS przy użyciu certyfikatu podpisanego algorytmem SHA-1 zakończy się niepowodzeniem. Dotyczy to też serwerów używanych do obsługi poczty, kalendarzy, połączeń VPN i innych usług.

Co muszę zrobić?

Deweloperzy, operatorzy witryn internetowych i administratorzy serwerów powinni możliwie najszybciej przejść na certyfikaty podpisane algorytmem SHA-256, aby zapobiec ostrzeżeniom i błędom połączeń. Certyfikaty podpisane algorytmem SHA-256 dostarcza wielu operatorów urzędów certyfikacji.

Listy certyfikatów głównych urzędów certyfikacji zawartych w domyślnych magazynach zaufania na naszych platformach można znaleźć w następujących artykułach:

Data publikacji: