ย้ายไปที่ใบรับรองที่ลงนาม SHA-256 เพื่อหลีกเลี่ยงการเชื่อมต่อล้มเหลว
นักพัฒนา ผู้ปฏิบัติการเว็บไซต์ และผู้ดูแลระบบที่ใช้ใบรับรองที่ลงนาม SHA-1 สำหรับความปลอดภัย TLS ควรย้ายไปที่ใบรับรองที่ลงนาม SHA-256 ให้เร็วที่สุด
การรองรับสำหรับใบรับรองที่ลงนาม SHA-1 ซึ่งใช้สำหรับ Transport Layer Security (TLS) ใน Safari และ WebKit สิ้นสุดลงเมื่อมีการเผยแพร่ macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 และ watchOS 3.2 รายการอัพเดทเหล่านี้จะลบการรับรองใบรับรองทั้งหมดที่ออกโดยหน่วยงานให้บริการออกใบรับรอง (CA) ระดับรากที่มีในร้านที่น่าเชื่อถือตามค่าเริ่มต้นของระบบปฏิบัติการ
macOS High Sierra 10.13, iOS 11, tvOS 11 และ watchOS 4 ซึ่งจะมีให้บริการในฤดูใบไม้ร่วงนี้ ไม่รองรับใบรับรองที่ลงนาม SHA-1 สำหรับการเชื่อมต่อ TLS ใดๆ
ใบรับรองของ CA ระดับรากที่ลงนาม SHA-1, ใบรับรอง SHA-1 ที่แจกจ่ายในระดับองค์กร และใบรับรอง SHA-1 ที่ติดตั้งโดยผู้ใช้จะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงนี้
มีอะไรเปลี่ยนแปลงบ้าง
ใน macOS Sierra 10.12.4 ขึ้นไปและ iOS 10.3 ขึ้นไปนั้น Safari จะแสดงการแจ้งเตือนเมื่อผู้ใช้ไปที่หน้าเว็บที่พยายามสร้างการเชื่อมต่อ TLS โดยใช้ใบรับรองที่ลงนาม SHA-1 ผู้ใช้ต้องคลิกการแจ้งเตือนเพื่อโหลดไซต์ หลังจากโหลดแล้ว ไซต์จะปรากฏเป็นการเชื่อมต่อที่ไม่ปลอดภัยใน Safari
แอพที่ใช้ WebKit ในการเชื่อมต่อกับไซต์โดยใช้ TLS จะได้รับข้อความข้อผิดพลาดหากใบรับรองของไซต์เป็นใบรับรองที่ลงชื่อ SHA-1 นักพัฒนาต้องตรวจสอบให้แน่ใจว่าแอพของตนจัดการกับข้อผิดพลาดเหล่านี้ได้
ใน macOS High Sierra 10.13, iOS 11, tvOS 11 และ watchOS 4 นั้น แอพใดๆ ที่พยายามสร้างการเชื่อมต่อ TLS โดยใช้ใบรับรองที่ลงนาม SHA-1 จะเชื่อมต่อล้มเหลว ซึ่งรวมถึงเซิร์ฟเวอร์ที่ใช้สำหรับเมล ปฏิทิน VPN และบริการอื่นๆ ด้วย
ฉันต้องทำอย่างไรบ้าง
นักพัฒนา นักปฏิบัตการเว็บไซต์ และผู้ดูแลระบบควรย้ายไปที่ใบรับรองที่ลงนาม SHA-256 ให้เร็วที่สุดเพื่อป้องกันการเตือนและการเชื่อมต่อล้มเหลว นักปฏิบัติการของ CA หลายคนมีใบรับรองที่ลงนาม SHA-256
สำหรับรายชื่อใบรับรองของ CA ระดับรากที่มีในร้านที่น่าเชื่อถือตามค่าเริ่มต้นบนแพล็ตฟอร์มของเรา ให้ดูที่รายชื่อต่อไปนี้