Obsługa certyfikatów podpisanych algorytmem SHA-1, używanych do połączeń TLS (Transport Layer Security) w przeglądarce Safari i silniku WebKit, została usunięta w systemach macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 i watchOS 3.2.
Te uaktualnienia usunęły obsługę dla wszystkich certyfikatów wydanych przez główny urząd certyfikacji zawartych w domyślnym magazynie zaufania systemu operacyjnego. Wszystkie inne połączenia TLS będą nadal obsługiwać certyfikaty podpisane algorytmem SHA-1 do ostatnich miesięcy 2017 roku.
Ta zmiana nie wpływa na certyfikaty główne urzędu certyfikacji podpisane algorytmem SHA-1, certyfikaty SHA-1 rozprowadzane przez przedsiębiorstwa ani certyfikaty SHA-1 zainstalowane przez użytkownika.
Co się zmieniło?
W przeglądarce Safari w systemach macOS Sierra 10.12.4 i iOS 10.3 będzie wyświetlane powiadomienie, gdy użytkownik przejdzie do strony internetowej próbującej utworzyć połączenie TLS przy użyciu certyfikatu podpisanego algorytmem SHA-1. Aby wczytać stronę, użytkownik będzie musiał wykonać kliknięcie. Po wczytaniu witryna będzie wyświetlana jako niezabezpieczone połączenie w przeglądarce Safari.
W aplikacjach używających silnika WebKit do łączenia się z witryną przy użyciu połączenia TLS pojawi się błąd, jeśli certyfikat witryny jest podpisany algorytmem SHA-1. Twórcy aplikacji muszą się upewnić, że ich aplikacje potrafią odpowiednio obsłużyć te błędy.
Co muszę zrobić?
Twórcy aplikacji i operatorzy witryn internetowych powinni możliwie najszybciej przejść na certyfikaty podpisane algorytmem SHA-256, aby zapobiec wyświetlaniu ostrzeżeń dla użytkowników łączących się z ich witrynami. Certyfikaty podpisane algorytmem SHA-256 dostarcza wielu operatorów urzędów certyfikacji.
Listy certyfikatów głównych urzędów certyfikacji zawartych w domyślnym magazynie zaufania na naszych platformach można znaleźć w następujących artykułach: