Tento článok bol archivovaný a spoločnosť Apple ho už neaktualizuje.

Prechod na certifikáty podpísané SHA-256 zabráni zlyhaniam pripojenia

Vývojári, prevádzkovatelia webových stránok a správcovia serverov, ktorí na šifrovanie TLS používajú certifikáty podpísané SHA-1, by čo najskôr mali prejsť na certifikáty podpísané SHA-256.

Podpora pre certifikáty podpísané SHA-1, ktoré sa používajú na šifrovanie TLS v Safari a WebKite sa skončila vydaním systémov macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 a watchOS 3.2. S týmito aktualizáciami sa odstránila podpora všetkých certifikátov, ktoré boli vydané z koreňovej certifikačnej autority (CA) zahrnutej v predvolenom priestore Trust Store operačného systému.

Systémy macOS High Sierra 10.13, iOS 11, tvOS 11 a watchOS 4, ktoré budú k dispozícii už na jeseň, nepodporujú v prípade pripojení TLS certifikáty podpísané SHA-1.

Táto zmena sa netýka certifikátov koreňovej certifikačnej autority podpísaných SHA-1, podnikových certifikátov SHA-1 a certifikátov SHA-1 nainštalovaných používateľmi.

Čo sa zmenilo?

V systémoch macOS Sierra 10.12.4 a novšej verzii a iOS 10.3 a novšej verzii sa v Safari zobrazuje hlásenie, keď používateľ prejde na webovú stránku, ktorá sa pokúša vytvoriť pripojenie TLS pomocou certifikátu podpísaného SHA-1. Aby sa mu stránka načítala, musí na toto hlásenie kliknúť. Po načítaní sa stránka v Safari zobrazuje ako nezabezpečené pripojenie.

Ak je certifikát stránky podpísaný SHA-1, aplikáciám, ktoré na pripojenie k nej používajú TLS, sa zobrazí chyba. Vývojári sa musia uistiť, že ich aplikácie tieto chyby zvládnu.

V systémoch macOS High Sierra 10.13, iOS 11, tvOS 11 a watchOS 4 sa aplikácii, ktorá sa pokúsi vytvoriť pripojenie TLS pomocou certifikátu podpísaného SHA-1, nepodarí pripojiť. To sa týka aj serverov používaných na fungovanie pošty, kalendárov, VPN a iných služieb.

Aké kroky sa odo mňa očakávajú?

Ak chcú vývojári, prevádzkovatelia webových stránok a správcovia serverov predísť zobrazovaniu upozornení a zlyhaniam pripojenia, mali by čo najskôr prejsť na používanie certifikátov podpísaných SHA-256. Certifikáty podpísané SHA-256 poskytuje mnoho prevádzkovateľov certifikačných autorít.

Zoznam certifikátov koreňových certifikačných autorít zahrnutých v predvolenom priestore Trust Store našich platforiem nájdete tu:

Dátum zverejnenia: