Переход на сертификаты с подписью SHA-256 для предотвращения сбоев при подключении
Разработчики, операторы веб-сайтов и сетевые администраторы, использующие сертификаты с подписью SHA-1 для протокола TLS, должны как можно скорее начать использовать сертификаты с подписью SHA-256.
Поддержка сертификатов с подписью SHA-1, используемых для протокола Transport Layer Security (TLS) в Safari и WebKit, прекратилась с выходом ОС macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 и watchOS 3.2. С этим обновлением прекращается поддержка всех сертификатов, выданных центрами сертификации, корневые сертификаты которых входят в предустановленное хранилище доверия операционной системы.
Операционные системы macOS High Sierra 10.13, iOS 11, tvOS 11 и watchOS 4 (выход ожидается этой осенью) не поддерживают сертификаты с подписью SHA-1 ни для каких соединений TLS.
Это не относится к корневым сертификатам SHA-1 центров сертификации и сертификатам SHA-1, распространяемым внутри корпораций или устанавливаемым пользователями.
Что изменилось?
В ОС macOS Sierra 10.12.4 и более поздней версии и iOS 10.3 и более поздней версии в том случае, когда пользователь переходит на веб-страницу и происходит попытка установить соединение TLS по сертификату с подписью SHA-1, в браузере Safari открывается окно уведомления. Пользователь должен нажать это уведомление, чтобы загрузить веб-сайт. После загрузки соединение с веб-сайтом отображается в Safari как незащищенное.
Программы, использующие WebKit для соединения с веб-сайтом по протоколу TLS, будут получать ошибку, если сертификат веб-сайта имеет подпись SHA-1. Обработкой таких ошибок должны заниматься разработчики программ.
В ОС macOS High Sierra 10.13, iOS 11, tvOS 11 и watchOS 4 ни одна программе на сможет установить TLS-подключение при использовании сертификата с подписью SHA-1. Это касается и серверов, используемых для работы со службами почты, календарей, VPN и т. д.
Что нужно сделать?
Разработчики, операторы веб-сайтов и администраторы серверов должны как можно скорее начать использовать сертификаты с подписью SHA-256, чтобы предотвратить появление предупреждений и сбоев при подключении. Многие операторы центров сертификации предоставляют сертификаты с подписью SHA-256.
Ниже можно просмотреть списки корневых сертификатов, входящих в предустановленное на наших платформах хранилище доверия.