Stödet för SHA-1-signerade certifikat, vilka används för TLS (Transport Layer Security) i Safari och WebKit, har tagits bort i macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 och watchOS 3.2.
Med dessa uppdateringar försvinner stödet för alla certifikat som utfärdats från en Root Certification Authority (CA) som ingick i operativsystemets förinställda Trust Store. Alla övriga TLS-anslutningar fortsätter att ge stöd för SHA-1-signerade certifikat fram till slutet av 2017.
SHA-1-signerade Root CA-certifikat, företagsdistribuerade SHA-1-certifikat och SHA-1-certifikat som installerats av användaren påverkas inte av den här ändringen.
Vad har förändrats?
I macOS Sierra 10.12.4 och iOS 10.3 visar Safari ett meddelande när en användare går till en webbsida som försöker skapa en TLS-anslutning med hjälp av ett SHA-1-signerat certifikat. Användaren måste klicka för att ladda webbplatsen. Efter laddning visas webbplatsen som en osäker anslutning i Safari.
I appar som använder WebKit för att ansluta till en webbplats med TLS visas ett felmeddelande om webbplatsens certifikat är SHA-1-signerat. Utvecklare måste säkerställa att deras appar kan hantera dessa fel.
Behöver jag göra någonting?
Utvecklare och webbplatsoperatörer ska så snart som möjligt gå över till SHA-256-signerade certifikat för att förhindra att användarna får varningsmeddelanden när de ansluter till deras webbplatser. Det finns många CA-operatörer som utfärdar SHA-256-signerade certifikat.
En lista över vilka Root CA-certifikat som finns med i en viss plattforms förinställda Trust Store finns i: