Treci la certificate semnate SHA-256 pentru a evita erori de conectare

Dezvoltatorii, operatorii de site-uri web și administratorii de servere care utilizează certificate semnate SHA-1 pentru securitate TLS trebuie să treacă la certificate semnate SHA-256 cât mai curând posibil.

Asistența pentru certificate semnate SHA-1 utilizate pentru Transport Layer Security (TLS) în Safari și WebKit s-a încheiat odată cu lansarea macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 și watchOS 3.2. Aceste actualizări au eliminat asistența pentru toate certificatele emise de o autoritate de certificare (Certification Authority – CA) rădăcină inclusă în magazinul de încredere implicit al sistemului de operare.

macOS High Sierra 10.13, iOS 11, tvOS 11 și watchOS 4 – disponibile în toamna aceasta – nu acceptă certificate semnate SHA-1 pentru niciun fel de conexiuni TLS.

Certificatele CA rădăcină semnate SHA-1, certificatele SHA-1 distribuite de companii și certificatele SHA-1 instalate de utilizatori nu sunt afectate.

Ce s-a schimbat?

În macOS Sierra 10.12.4 și versiuni ulterioare și iOS 10.3 și versiuni ulterioare, Safari afișează o notificare atunci când un utilizator navighează la o pagină web care încearcă să creeze o conexiune TLS utilizând un certificat semnat SHA-1. Utilizatorul trebuie să facă clic pe notificare pentru a încărca site-ul. După încărcare, site-ul apare ca fiind o conexiune nesigură în Safari.

Aplicațiile care utilizează WebKit pentru a se conecta la un site utilizând TLS vor primi o eroare dacă certificatul site-ului este semnat SHA-1. Dezvoltatorii trebuie să se asigure că aplicațiile lor tratează aceste erori.

În macOS High Sierra 10.13, iOS 11, tvOS 11 și watchOS 4, nicio aplicație care încearcă să creeze o conexiune TLS utilizând un certificat semnat SHA-1 nu va reuși să se conecteze. Sunt incluse servere utilizate pentru e-mail, calendare, VPN și alte servicii.

Ce trebuie să fac?

Dezvoltatorii, operatorii de site-uri web și administratorii de servere trebuie să treacă la certificate semnate SHA-256 cât mai curând posibil pentru a preveni avertizări și erori de conectare. Numeroși operatori CA furnizează certificate semnate SHA-256.

Pentru o listă a certificatelor CA rădăcină incluse în magazinele de încredere implicite de pe platformele noastre, consultă:

• Liste de certificate rădăcină de încredere disponibile în macOS

• Liste de certificate rădăcină de încredere disponibile în iOS

• Liste de certificate rădăcină de încredere disponibile în tvOS

• Liste de certificate rădăcină de încredere disponibile în watchOS