Safari และ WebKit ไม่รองรับใบรับรอง SHA-1

การรองรับใบรับรองที่ลงชื่อ SHA-1 ซึ่งใช้กับ Transport Layer Security (TLS) ใน Safari และ WebKit ได้ถูกลบออกใน macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 และ watchOS 3.2 แล้ว

รายการอัพเดทเหล่านี้จะลบการรองรับใบรับรองทั้งหมดที่ออกโดยหน่วยงานให้บริการออกใบรับรอง (CA) ระดับรูทที่มีในร้านที่่น่าเชื่อถือตามค่าเริ่มต้นของระบบปฏิบัติการ การเชื่อมต่อ TLS อื่นๆ ทั้งหมดจะรองรับใบรับรองที่ลงชื่อ SHA-1 ต่อไปจนถึงปลายปี 2017 

ใบรับรองของ CA ระดับรูทที่ลงชื่อ SHA-1, ใบรับรอง SHA-1 ที่แจกจ่ายในระดับองค์กร และใบรับรอง SHA-1 ที่ติดตั้งโดยผู้ใช้จะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงนี้

อะไรคือสิ่งที่เปลี่ยนแปลงไป

ใน macOS Sierra 10.12.4 และ iOS 10.3 นั้น Safari จะแสดงการแจ้งเตือนเมื่อผู้ใช้ไปที่หน้าเว็บที่พยายามสร้างการเชื่อมต่อ TLS โดยใช้ใบรับรองที่ลงชื่อ SHA-1 ผู้ใช้จะต้องคลิกเพื่อโหลดไซต์ หลังจากโหลดแล้ว ไซต์จะปรากฏเป็นการเชื่อมต่อที่ไม่ปลอดภัยใน Safari

แอพที่ใช้ WebKit ในการเชื่อมต่อกับไซต์โดยใช้ TLS จะได้รับข้อความข้อผิดพลาดหากใบรับรองของไซต์เป็นใบรับรองที่ลงชื่อ SHA-1 นักพัฒนาจะต้องตรวจสอบให้แน่ใจว่าแอพของตนจัดการกับข้อผิดพลาดเหล่านี้ได้

ฉันต้องทำอย่างไรบ้าง

นักพัฒนาและผู้ปฏิบัติงานเว็บไซต์ควรเปลี่ยนเป็นใบรับรองที่ลงชื่อ SHA-256 ให้เร็วที่สุดเพื่อป้องกันไม่ใช้ผู้ใช้พบการเตือนเมื่อเชื่อมต่อกับไซต์ของตน มีผู้ปฏิบัติงานของ CA จำนวนมากที่ให้ใบรับรองที่ลงชื่อ SHA-256

สำหรับรายชื่อใบรับรองของ CA ระดับรูทที่มีในร้านที่เชื่อถือได้ตามค่าเริ่มต้นบนแพล็ตฟอร์มของเรา ให้ดูที่รายชื่อต่อไปนี้

• รายชื่อใบรับรองระดับรูทที่เชื่อถือได้ที่มีให้ใน macOS
• รายชื่อใบรับรองระดับรูทที่เชื่อถือได้ที่มีให้ใน iOS
• รายชื่อใบรับรองระดับรูทที่เชื่อถือได้ที่มีให้ใน tvOS
• รายชื่อใบรับรองระดับรูทที่เชื่อถือได้ที่มีให้ใน watchOS