เตรียมสภาพแวดล้อมเครือข่ายของคุณให้พร้อมสำหรับข้อกำหนดการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้น
ระบบปฏิบัติการของ Apple กำหนดให้กระบวนการของระบบต้องมีการรักษาความปลอดภัยเครือข่ายที่เข้มงวดยิ่งขึ้น ดังนั้นให้ตรวจสอบดูว่าการเชื่อมต่อเซิร์ฟเวอร์ของคุณมีคุณลักษณะตรงตามข้อกำหนดใหม่หรือไม่
บทความนี้เขียนขึ้นสำหรับผู้ดูแลระบบไอทีและนักพัฒนาบริการจัดการอุปกรณ์
เริ่มตั้งแต่ iOS, iPadOS, macOS, watchOS, tvOS และ visionOS เวอร์ชั่น 27.0 ระบบปฏิบัติการของ Apple อาจปฏิเสธการเชื่อมต่อกับเซิร์ฟเวอร์ที่มีการกำหนดค่า TLS ที่ล้าสมัยหรือไม่เป็นไปตามข้อกำหนดเนื่องจากมีข้อกำหนดด้านความปลอดภัยเครือข่ายเพิ่มเติม
คุณควรตรวจสอบสภาพแวดล้อมของคุณเพื่อระบุเซิร์ฟเวอร์ที่ไม่ตรงตามข้อกำหนดเหล่านี้ การอัปเดตการกำหนดค่าเซิร์ฟเวอร์ให้เป็นไปตามข้อกำหนดเหล่านี้อาจต้องใช้เวลามาก โดยเฉพาะอย่างยิ่งสำหรับเซิร์ฟเวอร์ที่ดูแลโดยผู้จำหน่ายภายนอก
การเชื่อมต่อที่ได้รับผลกระทบและข้อกำหนดการกำหนดค่า
ข้อกำหนดใหม่จะมีผลกับการเชื่อมต่อเครือข่ายที่เกี่ยวข้องโดยตรงกับกิจกรรมต่อไปนี้
การจัดการอุปกรณ์เคลื่อนที่ (MDM)
การจัดการอุปกรณ์แบบประกาศ (DDM)
การลงทะเบียนอุปกรณ์อัตโนมัติ
การติดตั้งโปรไฟล์การกำหนดค่า
การติดตั้งแอป รวมถึงการแจกจ่ายแอประดับองค์กร
รายการอัปเดตซอฟต์แวร์
ข้อยกเว้น: การเชื่อมต่อเครือข่ายกับเซิร์ฟเวอร์ SCEP (ขณะติดตั้งโปรไฟล์การกำหนดค่าหรือประมวลผลแอสเซท DDM) และเซิร์ฟเวอร์การแคชเนื้อหา (แม้ในขณะที่ร้องขอแอสเซทที่เกี่ยวข้องกับการติดตั้งแอปหรือการอัปเดตซอฟต์แวร์) จะไม่ได้รับผลกระทบ
ข้อกำหนด: เซิร์ฟเวอร์ต้องรองรับ TLS 1.2 ขึ้นไป ใช้ชุดรหัสที่สอดคล้องกับ ATS และแสดงใบรับรองที่ถูกต้องซึ่งตรงตามมาตรฐาน ATS สำหรับข้อกำหนดด้านความปลอดภัยของเครือข่ายโดยละเอียด โปรดดูเอกสารประกอบของผู้พัฒนา:
ตรวจสอบสภาพแวดล้อมของคุณเพื่อหาการเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนด
ใช้อุปกรณ์ทดสอบเพื่อระบุการเชื่อมต่อเซิร์ฟเวอร์ในสภาพแวดล้อมของคุณที่ไม่ตรงตามข้อกำหนด TLS ใหม่
วางแผนความครอบคลุมการทดสอบของคุณ
การกำหนดค่าอุปกรณ์ที่แตกต่างกันอาจเชื่อมต่อกับเซิร์ฟเวอร์ที่แตกต่างกัน เพื่อให้แน่ใจว่าการตรวจสอบของคุณครอบคลุมอย่างสมบูรณ์ ให้ทดสอบการกำหนดค่าทั้งหมดที่เกี่ยวข้องกับสภาพแวดล้อมของคุณ
สภาพแวดล้อม: การผลิต, การจัดเตรียม, การทดสอบ
ประเภทอุปกรณ์: iPhone, iPad, Mac, Apple TV, Apple Vision Pro
บทบาท: กลุ่มผู้ใช้ (ฝ่ายขาย วิศวกรรม บัญชี) อุปกรณ์คีออสก์ อุปกรณ์ที่ใช้ร่วมกัน
ประเภทการลงทะเบียน: การลงทะเบียนอุปกรณ์อัตโนมัติ การลงทะเบียนที่ใช้บัญชี การลงทะเบียนอุปกรณ์ที่ใช้โปรไฟล์ iPad ที่ใช้ร่วมกัน
อุปกรณ์ทดสอบของคุณต้องมี iOS, iPadOS, macOS, tvOS หรือ visionOS เวอร์ชั่น 26.4 หรือใหม่กว่า หากอุปกรณ์ทดสอบของคุณมีเวอร์ชั่น 27 หรือใหม่กว่า และคุณพบข้อผิดพลาดในการเชื่อมต่อ ให้ลองทดสอบอีกครั้งบนอุปกรณ์ที่มีเวอร์ชั่น 26.4 หรือใหม่กว่า แต่เป็นก่อนหน้าเวอร์ชั่น 27 เพื่อระบุเซิร์ฟเวอร์ที่ได้รับผลกระทบทั้งหมด การเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนดจะถูกบล็อก และการเชื่อมต่อที่ล้มเหลวเหล่านี้อาจทำให้ไม่สามารถทดสอบการเชื่อมต่อถัดไปในเวิร์กโฟลว์ได้
ทำซ้ำขั้นตอนการตรวจสอบต่อไปนี้สำหรับแต่ละการกำหนดค่าที่เชื่อมต่อกับเซิร์ฟเวอร์ที่แตกต่างกัน
บน watchOS การทำงานส่วนใหญ่ของระบบเครือข่ายจะทำอยู่นอกกระบวนการหลัก และคำสั่งบันทึกจะไม่สามารถใช้งานได้ การทดสอบบน iOS น่าจะช่วยครอบคลุมการตรวจสอบการเชื่อมต่อของ Apple Watch ได้เพียงพอแล้ว
ติดตั้งโปรไฟล์บันทึกการวินิจฉัยเครือข่าย
ดาวน์โหลดและติดตั้งโปรไฟล์การบันทึกการวินิจฉัยเครือข่ายบนอุปกรณ์ทดสอบตัวแทนเพื่อเปิดใช้งานการบันทึก หลังจากติดตั้งโปรไฟล์แล้ว ให้รีสตาร์ทอุปกรณ์ทดสอบของคุณ
เพื่อให้แน่ใจว่าเหตุการณ์ในบันทึกมีรายละเอียดที่จำเป็นสำหรับการระบุการเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนด โปรไฟล์นี้ต้องถูกติดตั้งก่อนที่คุณจะทำการทดสอบใดๆ หากคุณกำลังทดสอบการลงทะเบียนอุปกรณ์อัตโนมัติบน iPhone หรือ iPad ให้ใช้ Apple Configurator สำหรับ Mac เพื่อติดตั้งโปรไฟล์ก่อนที่อุปกรณ์จะไปถึงบานหน้าต่างการจัดการอุปกรณ์ในผู้ช่วยตั้งค่า
เรียกใช้เวิร์กโฟลว์ตามปกติ
ใช้อุปกรณ์ทดสอบตามปกติในสภาพแวดล้อมของคุณ ลงทะเบียนอุปกรณ์ในการจัดการอุปกรณ์ ติดตั้งแอปและโปรไฟล์ และดำเนินการเวิร์กโฟลว์อื่นๆ ที่เชื่อมต่อกับเซิร์ฟเวอร์ขององค์กรของคุณ
เป้าหมายคือการสร้างการรับส่งข้อมูลเครือข่ายไปยังเซิร์ฟเวอร์ทั้งหมดที่อาจได้รับผลกระทบจากข้อกำหนด TLS ใหม่
รวบรวม sysdiagnose
หลังจากเรียกใช้เวิร์กโฟลว์ของคุณแล้ว ให้รวบรวมข้อมูล sysdiagnose จากอุปกรณ์ทดสอบ คลังการวินิจฉัยนี้ประกอบด้วยเหตุการณ์บันทึกที่คุณจำเป็นต้องใช้เพื่อระบุการเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนด
คำแนะนำเฉพาะสำหรับอุปกรณ์ในการรวบรวมข้อมูล sysdiagnose
ตรวจสอบบันทึก
ถ่ายโอน sysdiagnose ไปยัง Mac แล้วขยายไฟล์ .tar.gz ใช้เทอร์มินัลเพื่อไปยังไดเรกทอรีระดับบนสุดภายใน sysdiagnose ที่ขยายแล้ว และกรองหาเหตุการณ์บันทึกที่เกี่ยวข้องด้วยคำสั่งนี้:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
เหตุการณ์บันทึกแต่ละรายการประกอบด้วยรายละเอียดสำคัญสามประการ:
โดเมน: โดเมนของเซิร์ฟเวอร์สำหรับเหตุการณ์การเชื่อมต่อนี้
กระบวนการ: กระบวนการที่ทำให้เกิดการเชื่อมต่อ ซึ่งช่วยให้คุณระบุวัตถุประสงค์ของการเชื่อมต่อเครือข่ายกับโดเมนนั้น
คำเตือน: ข้อจำกัดที่การเชื่อมต่อละเมิดและวิธีที่เซิร์ฟเวอร์ไม่สอดคล้อง (การเชื่อมต่อเดียวอาจส่งคำเตือนหลายรายการหากเซิร์ฟเวอร์ไม่ตรงตามข้อกำหนดหลายรายการ)
การตีความบันทึกคำเตือน
ข้อความบันทึกต่อไปนี้แสดงถึงเซิร์ฟเวอร์ที่ไม่ตรงตามข้อกำหนด TLS ใหม่ การละเมิดจะถูกทำเครื่องหมายว่าเป็น การละเมิดนโยบาย ATS ทั่วไป (“คำเตือน [การละเมิด ATS]”) หรือ การละเมิดมาตรฐาน FCP v2.1 เฉพาะ (“คำเตือน [การละเมิด ATS FCPv2.1]”)
หากบันทึกเหล่านี้เกิดจากกระบวนการที่เชื่อมต่อกับเซิร์ฟเวอร์เฉพาะขององค์กรของคุณ เซิร์ฟเวอร์เหล่านั้นจะต้องได้รับการอัปเดตเพื่อให้เป็นไปตามข้อกำหนดใหม่
บนเวอร์ชั่น 27 หรือใหม่กว่า: การเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนดจะถูกบล็อก และข้อความบันทึกจะปรากฏเป็นข้อผิดพลาดแทนคำเตือน
ข้อความบันทึก | ความหมาย | การแก้ไข |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com* | เซิร์ฟเวอร์เจรจาต่อกับชุดรหัสที่ไม่ใช่ PFS ซึ่งไม่มีให้เมื่อไคลเอนต์บังคับใช้ ATS | เซิร์ฟเวอร์ต้องรองรับชุดรหัส PFS (ชุดรหัส TLS 1.3 และชุดรหัส TLS 1.2 ที่มี ECDHE) |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com* | เซิร์ฟเวอร์เจรจาเวอร์ชั่นของ TLS ที่เก่ากว่า TLS 1.2 TLS 1.0/1.1 ถูกเลิกใช้และไม่ได้ให้บริการตามค่าเริ่มต้นแล้ว | อัปเดตเซิร์ฟเวอร์เพื่อเจรจาต่อกับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ (อย่างน้อย TLS 1.2) |
Warning [ATS violation]: ATS certificate trust requirement not satisfied for server: www.example.com | ใบรับรองของเซิร์ฟเวอร์ไม่ผ่านการประเมินความน่าเชื่อถือของเซิร์ฟเวอร์ตามค่าเริ่มต้นเนื่องจากไม่ตรงตามข้อกำหนดขั้นต่ำที่ระบุไว้ ที่นี่. | อัปเดตใบรับรองของเซิร์ฟเวอร์ให้เป็นไปตามข้อกำหนดเหล่านี้ หากใบรับรองอยู่ในใบรับรองจุดยึดโปรไฟล์การลงทะเบียนอัตโนมัติ ก็ไม่จำเป็นต้องแก้ไขปัญหา |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | ใบรับรองของเซิร์ฟเวอร์ได้รับการเซ็นชื่อด้วยคีย์ RSA ที่มีขนาดเล็กกว่า 2048 บิต | อัปเดตใบรับรองของเซิร์ฟเวอร์ให้เป็นไปตามข้อกำหนดเหล่านี้ |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | ใบรับรองของเซิร์ฟเวอร์ได้รับการเซ็นชื่อด้วยคีย์ ECDSA ที่มีขนาดเล็กกว่า 256 บิต | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | ใบรับรองของเซิร์ฟเวอร์ไม่ได้ใช้ Secure Hash Algorithm 2 (SHA-2) ที่มีความยาวการย่ออย่างน้อย 256 บิต | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com* | ใช้ HTTP แบบข้อความธรรมดาแทน HTTPS | อัปเดตเซิร์ฟเวอร์ให้รองรับ HTTPS |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com* | เซิร์ฟเวอร์เลือก rsa_pkcs15_sha1 เป็นอัลกอริทึมลายเซ็น | อัปเดตการกำหนดค่าเพื่อเลือกใช้อัลกอริทึมลายเซ็นที่ทันสมัย |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | ใบรับรองของเซิร์ฟเวอร์ได้รับการเซ็นชื่อโดยใช้อัลกอริทึมลายเซ็นที่ไม่ได้ประกาศใน ClientHello | อัปเดตใบรับรองของเซิร์ฟเวอร์ให้ลงชื่อโดยใช้อัลกอริทึมลายเซ็นที่มีจุดรหัส TLS และไม่ใช่ rsa_pkcs15_sha1 |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | เซิร์ฟเวอร์เจรจาต่อ TLS 1.2 และไม่ได้เจรจาต่อส่วนขยายความลับหลักเพิ่มเติม (EMS) | อัปเดตเซิร์ฟเวอร์ให้ใช้ TLS 1.3 หรืออย่างน้อยอัปเดตการกำหนดค่า TLS 1.2 เพื่อเจรจาต่อ EMS |
*คำเตือนเหล่านี้ไม่มีข้อความแสดงข้อผิดพลาดที่เทียบเท่ากันโดยตรงในเวอร์ชั่น 27 หรือใหม่กว่า
สำหรับข้อผิดพลาดเกี่ยวกับชุดรหัส, เวอร์ชั่นของ TLS และอัลกอริทึมลายเซ็น: ข้อผิดพลาดตามจริงฝั่งไคลเอ็นต์อาจขึ้นอยู่กับวิธีที่เซิร์ฟเวอร์จัดการสถานะนั้นๆ
สำหรับข้อผิดพลาดเกี่ยวกับการเชื่อมต่อ HTTP แบบข้อความธรรมดา: เมื่อการเชื่อมต่อ HTTP (จาก URL http:// หรือการเปลี่ยนเส้นทางไปยัง URL ดังกล่าว) ถูกบล็อก ระบบจะบันทึกว่าเป็นข้อผิดพลาดคล้ายกับ:
Task finished with error [-1022] Error Domain=NSURLErrorDomain Code=-1022 "The resource could not be loaded because the App Transport Security policy requires the use of a secure connection."
ตรวจสอบเซิร์ฟเวอร์แต่ละเครื่อง
หลังจากระบุเซิร์ฟเวอร์ที่ไม่เป็นไปตามข้อกำหนดในการตรวจสอบแล้ว คุณสามารถทดสอบแต่ละเซิร์ฟเวอร์เพื่อตรวจสอบการละเมิดข้อกำหนดเฉพาะหรือยืนยันว่าการแก้ไขปัญหาสำเร็จ
เรียกใช้คำสั่งต่อไปนี้ โดยแทนที่ "https://example.com:8000" ด้วยเซิร์ฟเวอร์หรือปลายทางของคุณ
nscurl --ats-diagnostics https://example.com:8000/
คำสั่งนี้จะทดสอบว่าเซิร์ฟเวอร์ตรงตามข้อกำหนดสำหรับการผสมนโยบาย ATS ต่างๆ หรือไม่ มองหาผลการทดสอบโดยใช้ ATS ที่เปิดใช้งานโหมด FCP_v2.1
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
หากผลลัพธ์เป็น “PASS” แสดงว่าเซิร์ฟเวอร์ตรงตามข้อกำหนดทั้งหมด
เรียนรู้เพิ่มเติมเกี่ยวกับการระบุแหล่งที่มาของการเชื่อมต่อที่ถูกบล็อค
การแก้ไข
ทำงานร่วมกับเจ้าของเซิร์ฟเวอร์ที่ได้รับผลกระทบเพื่ออัปเดตการกำหนดค่า TLS เจ้าของเซิร์ฟเวอร์อาจเป็นภายในองค์กรของคุณ บริการจัดการอุปกรณ์ของคุณ หรือผู้จำหน่ายรายอื่น
เมื่อติดต่อเจ้าของเซิร์ฟเวอร์เพื่อแก้ไขปัญหา ให้แชร์บทความนี้และข้อความเตือนเฉพาะที่คุณสังเกตเห็น
ซึ่งอาจรวมถึงสิ่งต่อไปนี้
อัปเดตเซิร์ฟเวอร์เพื่อรองรับ TLS 1.2 ขึ้นไป (แนะนำให้ใช้ TLS 1.3)
สำหรับเซิร์ฟเวอร์ที่รองรับ TLS 1.2 เท่านั้น จะต้องรองรับอัลกอริทึมการแลกเปลี่ยนคีย์อย่างน้อยที่ให้ Perfect Forward Secrecy (ECDHE), ชุดรหัส AEAD ที่อิง AES-GCM พร้อม SHA-256, SHA-384 หรือ SHA-512 และส่วนขยาย extended master secret (RFC 7627)
อัปเดตใบรับรองให้เป็นไปตามข้อกำหนดของ ATS สำหรับขนาดคีย์ อัลกอริทึมลายเซ็น และความถูกต้อง
แหล่งข้อมูลเพิ่มเติม
เรียนรู้เกี่ยวกับการป้องกันการเชื่อมต่อเครือข่ายที่ไม่ปลอดภัยและ App Transport Security
ติดต่อ Customer Success Manager หรือฝ่ายบริการช่วยเหลือ AppleCare สำหรับลูกค้าองค์กรเพื่อรับความช่วยเหลือเพิ่มเติม