Prechod na certifikáty podpísané SHA-256 zabráni zlyhaniam pripojenia
Vývojári, prevádzkovatelia webových stránok a správcovia serverov, ktorí na šifrovanie TLS používajú certifikáty podpísané SHA-1, by čo najskôr mali prejsť na certifikáty podpísané SHA-256.
Podpora pre certifikáty podpísané SHA-1, ktoré sa používajú na šifrovanie TLS v Safari a WebKite sa skončila vydaním systémov macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 a watchOS 3.2. S týmito aktualizáciami sa odstránila podpora všetkých certifikátov, ktoré boli vydané z koreňovej certifikačnej autority (CA) zahrnutej v predvolenom priestore Trust Store operačného systému.
Systémy macOS High Sierra 10.13, iOS 11, tvOS 11 a watchOS 4, ktoré budú k dispozícii už na jeseň, nepodporujú v prípade pripojení TLS certifikáty podpísané SHA-1.
Táto zmena sa netýka certifikátov koreňovej certifikačnej autority podpísaných SHA-1, podnikových certifikátov SHA-1 a certifikátov SHA-1 nainštalovaných používateľmi.
Čo sa zmenilo?
V systémoch macOS Sierra 10.12.4 a novšej verzii a iOS 10.3 a novšej verzii sa v Safari zobrazuje hlásenie, keď používateľ prejde na webovú stránku, ktorá sa pokúša vytvoriť pripojenie TLS pomocou certifikátu podpísaného SHA-1. Aby sa mu stránka načítala, musí na toto hlásenie kliknúť. Po načítaní sa stránka v Safari zobrazuje ako nezabezpečené pripojenie.
Ak je certifikát stránky podpísaný SHA-1, aplikáciám, ktoré na pripojenie k nej používajú TLS, sa zobrazí chyba. Vývojári sa musia uistiť, že ich aplikácie tieto chyby zvládnu.
V systémoch macOS High Sierra 10.13, iOS 11, tvOS 11 a watchOS 4 sa aplikácii, ktorá sa pokúsi vytvoriť pripojenie TLS pomocou certifikátu podpísaného SHA-1, nepodarí pripojiť. To sa týka aj serverov používaných na fungovanie pošty, kalendárov, VPN a iných služieb.
Aké kroky sa odo mňa očakávajú?
Ak chcú vývojári, prevádzkovatelia webových stránok a správcovia serverov predísť zobrazovaniu upozornení a zlyhaniam pripojenia, mali by čo najskôr prejsť na používanie certifikátov podpísaných SHA-256. Certifikáty podpísané SHA-256 poskytuje mnoho prevádzkovateľov certifikačných autorít.
Zoznam certifikátov koreňových certifikačných autorít zahrnutých v predvolenom priestore Trust Store našich platforiem nájdete tu:
Zoznam dostupných dôveryhodných koreňových certifikátov v systéme macOS
Zoznam dostupných dôveryhodných koreňových certifikátov v systéme iOS
Zoznam dostupných dôveryhodných koreňových certifikátov v systéme tvOS
Zoznam dostupných dôveryhodných koreňových certifikátov v systéme watchOS