Migre para os certificados com assinatura SHA-256 para evitar falhas de conexão
Desenvolvedores, operadores de sites e administradores de servidores que usam certificados com assinatura SHA-1 para TLS devem migrar para os certificados com assinatura SHA-256 o mais rápido possível.
O suporte a certificados com assinatura SHA-1, usados para TLS (Transport Layer Security) no Safari e no WebKit, foi descontinuado no macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 e watchOS 3.2. Essas atualizações removeram o suporte a todos os certificados emitidos por uma Autoridade de Certificação (CA) raiz incluídos nos certificados padrão do sistema operacional.
macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4 (disponível este trimestre) não são compatíveis com certificados com assinatura SHA-1 para quaisquer conexões TLS.
Os certificados de CA raiz com assinatura SHA-1, certificados SHA-1 distribuídos por empresas e certificados SHA-1 instalados pelo usuário não serão afetados por essa mudança.
O que mudou?
No macOS Sierra 10.12.4 e posteriores e iOS 10.3 e posteriores, o Safari exibirá uma notificação quando um usuário acessar uma página da web que tenta criar uma conexão TLS usando um certificado com assinatura SHA-1. O usuário deverá clicar na notificação para carregar o site. Depois de carregado, o site aparecerá como uma conexão não segura no Safari.
Os apps que usarem o WebKit para se conectar a um site usando TLS receberão um erro se o certificado do site tiver uma assinatura SHA-1. Os desenvolvedores precisarão garantir que os apps processem os erros.
No macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4, qualquer app que tentar criar uma conexão TLS com um certificado com assinatura SHA-1 não conseguirá se conectar. Isso inclui servidores usados para e-mail, calendários, VPN e outros serviços.
O que preciso fazer?
Desenvolvedores, operadores de sites e administradores de servidor devem mudar para os certificados com assinatura SHA-256 o mais rápido possível para impedir avisos e falhas de conexão. Muitos operadores de CA fornecem certificados com assinatura SHA-256.
Para obter uma lista de certificados CA de raiz incluídas nos certificados padrão de nossas plataformas, consulte: