Поддержка сертификатов с подписью SHA-1, используемых для протокола Transport Layer Security (TLS) в Safari и WebKit, прекращена в macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 и watchOS 3.2.
В этом обновлении прекращена поддержка всех сертификатов, выданных центрами сертификации, корневые сертификаты которых входят в предустановленное хранилище доверия операционной системы. Все прочие соединения TLS будут поддерживать сертификаты с подписью SHA-1 до конца 2017 года.
Эти изменения не повлияют на корневые сертификаты SHA-1 центров сертификации и на сертификаты SHA-1, распространяемые внутри корпораций или установленные пользователем.
Что изменилось?
В macOS Sierra 10.12.4 и iOS 10.3 в том случае, когда пользователь переходит на веб-страницу и происходит попытка установить соединение TLS по сертификату с подписью SHA-1, браузер Safari будет показывать окно уведомления. Пользователь должен будет подтвердить переход на сайт щелчком мыши. После загрузки сайт будет отображен в Safari как незащищенное соединение.
Программы, использующие WebKit для соединения с сайтом по протоколу TLS, будут получать ошибку, если сертификат сайта подписан функцией SHA-1. За обработку таких ошибок несут ответственность разработчики программ.
Что нужно сделать?
Разработчики и операторы веб-сайтов должны как можно скорее перейти на сертификаты с подписью SHA-256, чтобы пользователи не получали предупреждение при переходе на их сайты. Сертификаты с подписью SHA-256 можно получить во многих центрах сертификации.
Ниже можно просмотреть списки корневых сертификатов, входящих в предустановленное на наших платформах хранилище доверия.