Treci la certificate semnate SHA-256 pentru a evita erori de conectare
Dezvoltatorii, operatorii de site-uri web și administratorii de servere care utilizează certificate semnate SHA-1 pentru securitate TLS trebuie să treacă la certificate semnate SHA-256 cât mai curând posibil.
Asistența pentru certificate semnate SHA-1 utilizate pentru Transport Layer Security (TLS) în Safari și WebKit s-a încheiat odată cu lansarea macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 și watchOS 3.2. Aceste actualizări au eliminat asistența pentru toate certificatele emise de o autoritate de certificare (Certification Authority – CA) rădăcină inclusă în magazinul de încredere implicit al sistemului de operare.
macOS High Sierra 10.13, iOS 11, tvOS 11 și watchOS 4 – disponibile în toamna aceasta – nu acceptă certificate semnate SHA-1 pentru niciun fel de conexiuni TLS.
Certificatele CA rădăcină semnate SHA-1, certificatele SHA-1 distribuite de companii și certificatele SHA-1 instalate de utilizatori nu sunt afectate.
Ce s-a schimbat?
În macOS Sierra 10.12.4 și versiuni ulterioare și iOS 10.3 și versiuni ulterioare, Safari afișează o notificare atunci când un utilizator navighează la o pagină web care încearcă să creeze o conexiune TLS utilizând un certificat semnat SHA-1. Utilizatorul trebuie să facă clic pe notificare pentru a încărca site-ul. După încărcare, site-ul apare ca fiind o conexiune nesigură în Safari.
Aplicațiile care utilizează WebKit pentru a se conecta la un site utilizând TLS vor primi o eroare dacă certificatul site-ului este semnat SHA-1. Dezvoltatorii trebuie să se asigure că aplicațiile lor tratează aceste erori.
În macOS High Sierra 10.13, iOS 11, tvOS 11 și watchOS 4, nicio aplicație care încearcă să creeze o conexiune TLS utilizând un certificat semnat SHA-1 nu va reuși să se conecteze. Sunt incluse servere utilizate pentru e-mail, calendare, VPN și alte servicii.
Ce trebuie să fac?
Dezvoltatorii, operatorii de site-uri web și administratorii de servere trebuie să treacă la certificate semnate SHA-256 cât mai curând posibil pentru a preveni avertizări și erori de conectare. Numeroși operatori CA furnizează certificate semnate SHA-256.
Pentru o listă a certificatelor CA rădăcină incluse în magazinele de încredere implicite de pe platformele noastre, consultă:
Liste de certificate rădăcină de încredere disponibile în macOS
Liste de certificate rădăcină de încredere disponibile în iOS
Liste de certificate rădăcină de încredere disponibile în tvOS
Liste de certificate rădăcină de încredere disponibile în watchOS