Bağlantı hatalarını önlemek için SHA-256 imzalı sertifikalara geçildi
TLS güvenliği için SHA-1 imzalı sertifikaları kullanan geliştiricilerin, web sitesi operatörlerinin ve sunucu yöneticilerinin mümkün olan en kısa süre içinde SHA-256 imzalı sertifikalara geçmesi gerekir.
Safari ve WebKit'te Aktarım Katmanı Güvenliği (TLS) için kullanılan SHA-1 imzalı sertifikalara ilişkin destek macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 ve watchOS 3.2 sürümleriyle birlikte kaldırılmıştır. Bu güncellemelerle, işletim sistemi varsayılan güvenli mağazasında bulunan bir kök Sertifika Otoritesi'nden (CA) alınmış tüm sertifikalara ilişkin destek kaldırılmıştır.
macOS High Sierra 10.13, iOS 11, tvOS 11 ve watchOS 4 (bu sonbaharda kullanıma sunulacak), TLS bağlantıları için SHA-1 imzalı sertifikaları desteklemez.
SHA-1 imzalı kök CA sertifikaları, kurumsal olarak dağıtılmış SHA-1 sertifikaları ve kullanıcılar tarafından yüklenmiş SHA-1 sertifikaları bu değişiklikten etkilenmeyecektir.
Neler değişti?
macOS Sierra 10.12.4 ile iOS 10.3 ve sonraki sürümlerinde, kullanıcı SHA-1 imzalı sertifika kullanarak TLS bağlantısı oluşturmaya çalışan bir web sayfasına gittiğinde Safari'de bir bildirim görüntülenir. Kullanıcının siteyi yüklemek için bildirimi tıklaması gerekir. Yüklendikten sonra site, Safari'de güvenli olmayan bir bağlantı olarak görünür.
Sitenin sertifikası SHA-1 imzalıysa TLS kullanan bir siteye bağlanmak için WebKit'i kullanan uygulamalar hatayla karşılaşır. Geliştiricilerin, uygulamalarının bu hatalarla başa çıkabileceğinden emin olması gerekir.
macOS High Sierra 10.13, iOS 11, tvOS 11 ve watchOS 4'te, SHA-1 imzalı bir sertifika kullanarak TLS bağlantısı oluşturmaya çalışan tüm uygulamaların bağlanma işlemleri başarısız olacaktır. E-posta için kullanılan sunucular, takvimler, VPN ve diğer servisler de bunlara dahildir.
Ne yapmam gerekiyor?
Geliştiricilerin, web sitesi operatörlerinin ve sunucu yöneticilerinin, uyarıların ve bağlantı hatalarının önüne geçmek için mümkün olan en kısa süre içinde SHA-256 imzalı sertifikalara geçmesi gerekir. Birçok CA operatörü SHA-256 imzalı sertifikalar sunar.
Platformlarımızdaki varsayılan güvenli mağazalarda bulunan kök CA sertifikalarının listesi için aşağıdaki makalelere bakın: