เตรียมสภาพแวดล้อมเครือข่ายของคุณให้พร้อมสำหรับข้อกำหนดการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้น
ระบบปฏิบัติการของ Apple กำหนดให้กระบวนการของระบบต้องมีการรักษาความปลอดภัยเครือข่ายที่เข้มงวดยิ่งขึ้น ดังนั้นให้ตรวจสอบดูว่าการเชื่อมต่อเซิร์ฟเวอร์ของคุณมีคุณลักษณะตรงตามข้อกำหนดใหม่หรือไม่
บทความนี้เขียนขึ้นสำหรับผู้ดูแลระบบไอทีและนักพัฒนาบริการจัดการอุปกรณ์
เริ่มตั้งแต่การเปิดตัวซอฟต์แวร์หลักครั้งต่อไป ระบบปฏิบัติการของ Apple (iOS, iPadOS, macOS, watchOS, tvOS และ visionOS) อาจปฏิเสธการเชื่อมต่อกับเซิร์ฟเวอร์ที่มีการกำหนดค่า TLS ที่ล้าสมัยหรือไม่เป็นไปตามข้อกำหนดเนื่องจากมีข้อกำหนดด้านความปลอดภัยเครือข่ายเพิ่มเติม
คุณควรตรวจสอบสภาพแวดล้อมของคุณเพื่อระบุเซิร์ฟเวอร์ที่ไม่ตรงตามข้อกำหนดเหล่านี้ การอัปเดตการกำหนดค่าเซิร์ฟเวอร์ให้เป็นไปตามข้อกำหนดเหล่านี้อาจต้องใช้เวลามาก โดยเฉพาะอย่างยิ่งสำหรับเซิร์ฟเวอร์ที่ดูแลโดยผู้จำหน่ายภายนอก
การเชื่อมต่อที่ได้รับผลกระทบและข้อกำหนดการกำหนดค่า
ข้อกำหนดใหม่จะมีผลกับการเชื่อมต่อเครือข่ายที่เกี่ยวข้องโดยตรงกับกิจกรรมต่อไปนี้
การจัดการอุปกรณ์เคลื่อนที่ (MDM)
การจัดการอุปกรณ์แบบประกาศ (DDM)
การลงทะเบียนอุปกรณ์อัตโนมัติ
การติดตั้งโปรไฟล์การกำหนดค่า
การติดตั้งแอป รวมถึงการแจกจ่ายแอประดับองค์กร
รายการอัปเดตซอฟต์แวร์
ข้อยกเว้น: การเชื่อมต่อเครือข่ายกับเซิร์ฟเวอร์ SCEP (ขณะติดตั้งโปรไฟล์การกำหนดค่าหรือประมวลผลแอสเซท DDM) และเซิร์ฟเวอร์การแคชเนื้อหา (แม้ในขณะที่ร้องขอแอสเซทที่เกี่ยวข้องกับการติดตั้งแอปหรือการอัปเดตซอฟต์แวร์) จะไม่ได้รับผลกระทบ
ข้อกำหนด: เซิร์ฟเวอร์ต้องรองรับ TLS 1.2 ขึ้นไป ใช้ชุดรหัสที่สอดคล้องกับ ATS และแสดงใบรับรองที่ถูกต้องซึ่งตรงตามมาตรฐาน ATS สำหรับข้อกำหนดด้านความปลอดภัยของเครือข่ายโดยละเอียด โปรดดูเอกสารประกอบของผู้พัฒนา:
ตรวจสอบสภาพแวดล้อมของคุณเพื่อหาการเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนด
ใช้อุปกรณ์ทดสอบเพื่อระบุการเชื่อมต่อเซิร์ฟเวอร์ในสภาพแวดล้อมของคุณที่ไม่ตรงตามข้อกำหนด TLS ใหม่
วางแผนความครอบคลุมการทดสอบของคุณ
การกำหนดค่าอุปกรณ์ที่แตกต่างกันอาจเชื่อมต่อกับเซิร์ฟเวอร์ที่แตกต่างกัน เพื่อให้แน่ใจว่าการตรวจสอบของคุณครอบคลุมอย่างสมบูรณ์ ให้ทดสอบการกำหนดค่าทั้งหมดที่เกี่ยวข้องกับสภาพแวดล้อมของคุณ
สภาพแวดล้อม: การผลิต, การจัดเตรียม, การทดสอบ
ประเภทอุปกรณ์: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
บทบาท: กลุ่มผู้ใช้ (ฝ่ายขาย วิศวกรรม บัญชี) อุปกรณ์คีออสก์ อุปกรณ์ที่ใช้ร่วมกัน
ประเภทการลงทะเบียน: การลงทะเบียนอุปกรณ์อัตโนมัติ การลงทะเบียนที่ใช้บัญชี การลงทะเบียนอุปกรณ์ที่ใช้โปรไฟล์ iPad ที่ใช้ร่วมกัน
ทำซ้ำขั้นตอนการตรวจสอบต่อไปนี้สำหรับแต่ละการกำหนดค่าที่เชื่อมต่อกับเซิร์ฟเวอร์ที่แตกต่างกัน
ติดตั้งโปรไฟล์บันทึกการวินิจฉัยเครือข่าย
ดาวน์โหลดและติดตั้ง โปรไฟล์การบันทึกการวินิจฉัยเครือข่าย บนอุปกรณ์ทดสอบตัวแทนที่ใช้ iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 หรือ visionOS 26.4 หรือใหม่กว่า เพื่อเปิดใช้งานการบันทึก หลังจากติดตั้งโปรไฟล์แล้ว ให้รีสตาร์ทอุปกรณ์ทดสอบของคุณ
เพื่อให้แน่ใจว่าเหตุการณ์ในบันทึกมีรายละเอียดที่จำเป็นสำหรับการระบุการเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนด โปรไฟล์นี้ต้องถูกติดตั้งก่อนที่คุณจะทำการทดสอบใดๆ หากคุณกำลังทดสอบการลงทะเบียนอุปกรณ์อัตโนมัติบน iPhone หรือ iPad ให้ใช้ Apple Configurator สำหรับ Mac เพื่อติดตั้งโปรไฟล์ก่อนที่อุปกรณ์จะไปถึงบานหน้าต่างการจัดการอุปกรณ์ในผู้ช่วยตั้งค่า
เรียกใช้เวิร์กโฟลว์ตามปกติ
ใช้อุปกรณ์ทดสอบตามปกติในสภาพแวดล้อมของคุณ ลงทะเบียนอุปกรณ์ในการจัดการอุปกรณ์ ติดตั้งแอปและโปรไฟล์ และดำเนินการเวิร์กโฟลว์อื่นๆ ที่เชื่อมต่อกับเซิร์ฟเวอร์ขององค์กรของคุณ
เป้าหมายคือการสร้างการรับส่งข้อมูลเครือข่ายไปยังเซิร์ฟเวอร์ทั้งหมดที่อาจได้รับผลกระทบจากข้อกำหนด TLS ใหม่
รวบรวม sysdiagnose
หลังจากเรียกใช้เวิร์กโฟลว์ของคุณแล้ว ให้รวบรวมข้อมูล sysdiagnose จากอุปกรณ์ทดสอบ คลังการวินิจฉัยนี้ประกอบด้วยเหตุการณ์บันทึกที่คุณจำเป็นต้องใช้เพื่อระบุการเชื่อมต่อที่ไม่เป็นไปตามข้อกำหนด
คำแนะนำเฉพาะสำหรับอุปกรณ์ในการรวบรวมข้อมูล sysdiagnose
ตรวจสอบบันทึก
ถ่ายโอน sysdiagnose ไปยัง Mac แล้วขยายไฟล์ .tar.gz ใช้เทอร์มินัลเพื่อไปยังไดเรกทอรีระดับบนสุดภายใน sysdiagnose ที่ขยายแล้ว และกรองหาเหตุการณ์บันทึกที่เกี่ยวข้องด้วยคำสั่งนี้:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
เหตุการณ์บันทึกแต่ละรายการประกอบด้วยรายละเอียดสำคัญสามประการ:
โดเมน: โดเมนของเซิร์ฟเวอร์สำหรับเหตุการณ์การเชื่อมต่อนี้
กระบวนการ: กระบวนการที่ทำให้เกิดการเชื่อมต่อ ซึ่งช่วยให้คุณระบุวัตถุประสงค์ของการเชื่อมต่อเครือข่ายกับโดเมนนั้น
คำเตือน: ข้อจำกัดที่การเชื่อมต่อละเมิดและวิธีที่เซิร์ฟเวอร์ไม่สอดคล้อง (การเชื่อมต่อเดียวอาจส่งคำเตือนหลายรายการหากเซิร์ฟเวอร์ไม่ตรงตามข้อกำหนดหลายรายการ)
การตีความบันทึกคำเตือน
ข้อความบันทึกต่อไปนี้แสดงถึงเซิร์ฟเวอร์ที่ไม่ตรงตามข้อกำหนด TLS ใหม่ การละเมิดจะถูกทำเครื่องหมายว่าเป็น การละเมิดนโยบาย ATS ทั่วไป ("คำเตือน [การละเมิด ATS]") หรือ การละเมิดมาตรฐาน FCP v2.1 เฉพาะ ("คำเตือน [การละเมิด ATS FCPv2.1]")
หากบันทึกเหล่านี้เกิดจากกระบวนการที่เชื่อมต่อกับเซิร์ฟเวอร์เฉพาะขององค์กรของคุณ เซิร์ฟเวอร์เหล่านั้นจะต้องได้รับการอัปเดตเพื่อให้เป็นไปตามข้อกำหนดใหม่
ข้อความบันทึก | ความหมาย | การแก้ไข |
|---|---|---|
คำเตือน [การละเมิด ATS]: Ciphersuite([ciphersuite ที่เจรจา]) ไม่ได้เสนอใน ATS ที่เจรจาสำหรับเซิร์ฟเวอร์: www.example.com | เซิร์ฟเวอร์เจรจาต่อกับชุดรหัสที่ไม่ใช่ PFS ซึ่งไม่มีให้เมื่อไคลเอนต์บังคับใช้ ATS | เซิร์ฟเวอร์ต้องรองรับชุดรหัส PFS (ชุดรหัส TLS 1.3 และชุดรหัส TLS 1.2 ที่มี ECDHE) |
คำเตือน [การละเมิด ATS]: เวอร์ชั่น TLS <1.2 ที่เจรจาต่อสำหรับเซิร์ฟเวอร์: www.example.com | เซิร์ฟเวอร์เจรจาเวอร์ชั่นของ TLS ที่เก่ากว่า TLS 1.2 TLS 1.0/1.1 ถูกเลิกใช้และไม่ได้ให้บริการตามค่าเริ่มต้นแล้ว | อัปเดตเซิร์ฟเวอร์เพื่อเจรจาต่อกับ TLS 1.3 เมื่อใดก็ตามที่เป็นไปได้ (อย่างน้อย TLS 1.2) |
คำเตือน [การละเมิด ATS]: ไม่ตรงตามข้อกำหนดการเชื่อถือใบรับรอง ATS สำหรับเซิร์ฟเวอร์: www.example.com | ใบรับรองของเซิร์ฟเวอร์ไม่ผ่านการประเมินความน่าเชื่อถือของเซิร์ฟเวอร์ตามค่าเริ่มต้นเนื่องจากไม่ตรงตามข้อกำหนดขั้นต่ำที่ระบุไว้ ที่นี่. | อัปเดตใบรับรองของเซิร์ฟเวอร์ให้เป็นไปตามข้อกำหนดเหล่านี้ หากใบรับรองอยู่ในใบรับรองจุดยึดโปรไฟล์การลงทะเบียนอัตโนมัติ ก็ไม่จำเป็นต้องแก้ไขปัญหา |
คำเตือน [การละเมิด ATS]: ขนาดคีย์ RSA [n] บิตน้อยกว่าขนาดขั้นต่ำ 2048 บิตสำหรับเซิร์ฟเวอร์: www.example.com | ใบรับรองของเซิร์ฟเวอร์ได้รับการเซ็นชื่อด้วยคีย์ RSA ที่มีขนาดเล็กกว่า 2048 บิต | อัปเดตใบรับรองของเซิร์ฟเวอร์ให้เป็นไปตามข้อกำหนดเหล่านี้ |
คำเตือน [การละเมิด ATS]: ขนาดคีย์ ECDSA [n] บิตน้อยกว่าขนาดขั้นต่ำ 256 บิตสำหรับเซิร์ฟเวอร์: www.example.com | ใบรับรองของเซิร์ฟเวอร์ได้รับการเซ็นชื่อด้วยคีย์ ECDSA ที่มีขนาดเล็กกว่า 256 บิต | |
คำเตือน [การละเมิด ATS]: อัลกอริทึมแฮชใบรับรองใบ (n) ไม่ใช่ SHA-256 อย่างน้อยสำหรับเซิร์ฟเวอร์: www.example.com | ใบรับรองของเซิร์ฟเวอร์ไม่ได้ใช้ Secure Hash Algorithm 2 (SHA-2) ที่มีความยาวการย่ออย่างน้อย 256 บิต | |
คำเตือน [การละเมิด ATS]: ไม่ได้ใช้ TLS เมื่อเปิดการเชื่อมต่อสำหรับเซิร์ฟเวอร์: www.example.com | ใช้ HTTP แบบข้อความธรรมดาแทน HTTPS | อัปเดตเซิร์ฟเวอร์ให้รองรับ HTTPS |
คำเตือน [การละเมิด ATS FCPv2.1]: เซิร์ฟเวอร์ www.example.com ต่อรองอัลกอริทึมลายเซ็น rsa_pkcs15_sha1 | เซิร์ฟเวอร์เลือก rsa_pkcs15_sha1 เป็นอัลกอริทึมลายเซ็น | อัปเดตการกำหนดค่าเพื่อเลือกใช้อัลกอริทึมลายเซ็นที่ทันสมัย |
คำเตือน [การละเมิด ATS FCPv2.1]: ใบรับรองเซิร์ฟเวอร์ที่ลงชื่อโดยใช้อัลกอริทึมลายเซ็น [อัลกอริทึมลายเซ็น] ไม่ได้ประกาศใน ClientHello สำหรับเซิร์ฟเวอร์: www.example.com | ใบรับรองของเซิร์ฟเวอร์ได้รับการเซ็นชื่อโดยใช้อัลกอริทึมลายเซ็นที่ไม่ได้ประกาศใน ClientHello | อัปเดตใบรับรองของเซิร์ฟเวอร์ให้ลงชื่อโดยใช้อัลกอริทึมลายเซ็นที่มีจุดรหัส TLS และไม่ใช่ rsa_pkcs15_sha1 |
คำเตือน [การละเมิด ATS FCPv2.1]: TLS 1.2 เจรจาต่อโดยไม่มีส่วนขยายความลับหลักเพิ่มเติม (EMS) สำหรับเซิร์ฟเวอร์: www.example.com | เซิร์ฟเวอร์เจรจาต่อ TLS 1.2 และไม่ได้เจรจาต่อส่วนขยายความลับหลักเพิ่มเติม (EMS) | อัปเดตเซิร์ฟเวอร์ให้ใช้ TLS 1.3 หรืออย่างน้อยอัปเดตการกำหนดค่า TLS 1.2 เพื่อเจรจาต่อ EMS |
ตรวจสอบเซิร์ฟเวอร์แต่ละเครื่อง
หลังจากระบุเซิร์ฟเวอร์ที่ไม่เป็นไปตามข้อกำหนดในการตรวจสอบแล้ว คุณสามารถทดสอบแต่ละเซิร์ฟเวอร์เพื่อตรวจสอบการละเมิดข้อกำหนดเฉพาะหรือยืนยันว่าการแก้ไขปัญหาสำเร็จ
เรียกใช้คำสั่งต่อไปนี้ โดยแทนที่ "https://example.com:8000" ด้วยเซิร์ฟเวอร์หรือปลายทางของคุณ
nscurl --ats-diagnostics https://example.com:8000/
คำสั่งนี้จะทดสอบว่าเซิร์ฟเวอร์ตรงตามข้อกำหนดสำหรับการผสมนโยบาย ATS ต่างๆ หรือไม่ มองหาผลการทดสอบโดยใช้ ATS ที่เปิดใช้งานโหมด FCP_v2.1
การกำหนดความต้องการเวอร์ชันแพ็กเกจ NIAP TLS
---
FCP_v2.1
ผลลัพธ์: PASS
---
หากผลลัพธ์เป็น “PASS” แสดงว่าเซิร์ฟเวอร์ตรงตามข้อกำหนดทั้งหมด
เรียนรู้เพิ่มเติมเกี่ยวกับการระบุแหล่งที่มาของการเชื่อมต่อที่ถูกบล็อค
การแก้ไข
ทำงานร่วมกับเจ้าของเซิร์ฟเวอร์ที่ได้รับผลกระทบเพื่ออัปเดตการกำหนดค่า TLS เจ้าของเซิร์ฟเวอร์อาจเป็นภายในองค์กรของคุณ บริการจัดการอุปกรณ์ของคุณ หรือผู้จำหน่ายรายอื่น
เมื่อติดต่อเจ้าของเซิร์ฟเวอร์เพื่อแก้ไขปัญหา ให้แชร์บทความนี้และข้อความเตือนเฉพาะที่คุณสังเกตเห็น
ซึ่งอาจรวมถึงสิ่งต่อไปนี้
อัปเดตเซิร์ฟเวอร์เพื่อรองรับ TLS 1.2 ขึ้นไป (แนะนำให้ใช้ TLS 1.3)
สำหรับเซิร์ฟเวอร์ที่รองรับ TLS 1.2 เท่านั้น จะต้องรองรับอัลกอริทึมการแลกเปลี่ยนคีย์อย่างน้อยที่ให้ Perfect Forward Secrecy (ECDHE), ชุดรหัส AEAD ที่อิง AES-GCM พร้อม SHA-256, SHA-384 หรือ SHA-512 และส่วนขยาย extended master secret (RFC 7627)
อัปเดตใบรับรองให้เป็นไปตามข้อกำหนดของ ATS สำหรับขนาดคีย์ อัลกอริทึมลายเซ็น และความถูกต้อง
แหล่งข้อมูลเพิ่มเติม
เรียนรู้เกี่ยวกับการป้องกันการเชื่อมต่อเครือข่ายที่ไม่ปลอดภัยและ App Transport Security
ติดต่อ Customer Success Manager หรือฝ่ายบริการช่วยเหลือ AppleCare สำหรับลูกค้าองค์กรเพื่อรับความช่วยเหลือเพิ่มเติม