Este artigo foi arquivado e já não é actualizado pela Apple.

Mudar para certificados assinados SHA-256 para evitar falhas de ligação

Os programadores, os operadores de sites e os administradores do servidor que utilizam os certificados assinados SHA-1 para segurança TLS devem mudar para os certificados assinados SHA-256 logo que possível.

O suporte para certificados assinados SHA-1 utilizados para o protocolo TLS (Transport Layer Security) no Safari e WebKit terminou com os lançamentos do macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 e watchOS 3.2. Estas atualizações removeram o suporte para todos os certificados emitidos a partir de uma Autoridade de certificação (AC) de raiz incluída nos certificados predefinidos do sistema operativo.

O macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4, disponíveis este outono, não suportam os certificados assinados SHA-1 para todas as ligações TLS.

Os certificados de AC de raiz assinados SHA-1, os certificados SHA-1 distribuídos pelas empresas e os certificados SHA-1 instalados pelos utilizadores não são afetados.

O que mudou?

No macOS Sierra 10.12.4 e posterior e iOS 10.3 e posterior, o Safari apresenta uma notificação quando um utilizador navega até uma página web que tenta criar uma ligação TLS utilizando um certificado assinado SHA-1. O utilizador tem de clicar na notificação para carregar o site. Após o carregamento, o site surgirá como uma ligação insegura no Safari.

Será apresentado um erro às apps que utilizem o WebKit para estabelecer a ligação a um site utilizando TLS se o certificado do site for um certificado assinado SHA-1. Os programadores devem garantir que as suas apps conseguem gerir estes erros.

No macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4, qualquer app que tente criar uma ligação TLS através de um certificado assinado SHA-1 irá falhar a ligação. Isto inclui servidores utilizados para o correio, os calendários, VPN e outros serviços.

O que tenho de fazer?

Os programadores, os operadores de sites e os administradores do servidor devem mudar para os certificados assinados SHA-256 logo que possível para evitar falhas na ligação e avisos. Muitos operadores de AC fornecem certificados assinados SHA-256.

Para aceder a uma lista de certificados de AC de raiz incluídos nos certificados predefinidos nas nossas plataformas, consulte:

Data de publicação: