Gå över till SHA-256-signerade certifikat för att undvika anslutningsfel

Utvecklare, webbplatsoperatörer och serveradministratörer som använder SHA-1-signerade certifikat för TLS-säkerhet bör övergå till signerade SHA-256-certifikat så snart som möjligt.

Stödet för SHA-1-signerade certifikat som används i Transport Layer Security (TLS) i Safari och WebKit avslutades i och med utgivningen av macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 och watchOS 3.2. Med dessa uppdateringar försvinner stödet för alla certifikat som utfärdats från en Root Certification Authority (CA) som ingick i operativsystemets förinställda Trust Store.

macOS High Sierra 10.13, iOS 11, tvOS 11 och watchOS 4 – tillgängliga till hösten – har inte stöd för SHA-1-signerade certifikat för några TLS-anslutningar.

SHA-1-signerade Root CA-certifikat, företagsdistribuerade SHA-1-certifikat och SHA-1-certifikat som installerats av användaren påverkas inte.

Vad har ändrats?

I macOS Sierra 10.12.4 och senare och iOS 10.3 och senare visar Safari ett meddelande när en användare går till en webbsida som försöker skapa en TLS-anslutning med hjälp av ett SHA-1-signerat certifikat. Användaren måste klicka på meddelandet för att ladda webbplatsen. Efter laddning visas webbplatsen som en osäker anslutning i Safari.

I appar som använder WebKit för att ansluta till en webbplats med TLS visas ett felmeddelande om webbplatsens certifikat är SHA-1-signerat. Utvecklare måste säkerställa att deras appar kan hantera dessa fel.

I macOS High Sierra 10.13, iOS 11, tvOS 11 och watchOS 4 kommer alla appar som försöker skapa en TLS-anslutning med hjälp av ett SHA-1-signerat certifikat att misslyckas med anslutningen. Detta omfattar servrar som används för e-post, kalendrar, VPN och andra tjänster.

Behöver jag göra någonting?

Utvecklare, webbplatsoperatörer och serveradministratörer bör övergå till SHA-256-signerade certifikat så snart som möjligt för att förhindra varningar och anslutningsfel. Många CA-operatörer tillhandahåller SHA-256-signerade certifikat.

En lista över vilka Root CA-certifikat som finns med i en viss plattforms förinställda Trust Store finns i:

• Lista över tillgängliga tillförlitliga rotcertifikat i macOS

• Lista över tillgängliga tillförlitliga rotcertifikat i iOS

• Lista över tillgängliga tillförlitliga rotcertifikat i tvOS

• Lista över tillgängliga tillförlitliga rotcertifikat i watchOS