Mudar para certificados assinados SHA-256 para evitar falhas de ligação
Os programadores, os operadores de sites e os administradores do servidor que utilizam os certificados assinados SHA-1 para segurança TLS devem mudar para os certificados assinados SHA-256 logo que possível.
O suporte para certificados assinados SHA-1 utilizados para o protocolo TLS (Transport Layer Security) no Safari e WebKit terminou com os lançamentos do macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 e watchOS 3.2. Estas atualizações removeram o suporte para todos os certificados emitidos a partir de uma Autoridade de certificação (AC) de raiz incluída nos certificados predefinidos do sistema operativo.
O macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4, disponíveis este outono, não suportam os certificados assinados SHA-1 para todas as ligações TLS.
Os certificados de AC de raiz assinados SHA-1, os certificados SHA-1 distribuídos pelas empresas e os certificados SHA-1 instalados pelos utilizadores não são afetados.
O que mudou?
No macOS Sierra 10.12.4 e posterior e iOS 10.3 e posterior, o Safari apresenta uma notificação quando um utilizador navega até uma página web que tenta criar uma ligação TLS utilizando um certificado assinado SHA-1. O utilizador tem de clicar na notificação para carregar o site. Após o carregamento, o site surgirá como uma ligação insegura no Safari.
Será apresentado um erro às apps que utilizem o WebKit para estabelecer a ligação a um site utilizando TLS se o certificado do site for um certificado assinado SHA-1. Os programadores devem garantir que as suas apps conseguem gerir estes erros.
No macOS High Sierra 10.13, iOS 11, tvOS 11 e watchOS 4, qualquer app que tente criar uma ligação TLS através de um certificado assinado SHA-1 irá falhar a ligação. Isto inclui servidores utilizados para o correio, os calendários, VPN e outros serviços.
O que tenho de fazer?
Os programadores, os operadores de sites e os administradores do servidor devem mudar para os certificados assinados SHA-256 logo que possível para evitar falhas na ligação e avisos. Muitos operadores de AC fornecem certificados assinados SHA-256.
Para aceder a uma lista de certificados de AC de raiz incluídos nos certificados predefinidos nas nossas plataformas, consulte:
Listas de certificados raiz de confiança disponíveis no macOS
Listas de certificados raiz de confiança disponíveis no tvOS
Listas de certificados raiz de confiança disponíveis no watchOS