Safari ve WebKit'te Aktarım Katmanı Güvenliği (TLS) için kullanılan SHA-1 imzalı sertifikalara yönelik destek macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 ve watchOS 3.2'de kaldırılmıştır.
Bu güncellemelerle, işletim sistemi varsayılan güvenli mağazasında bulunan bir kök Sertifika Otoritesi'nden alınmış tüm sertifikalara yönelik destek kaldırılmıştır. Diğer tüm TLS bağlantıları, SHA-1 imzalı sertifikaları desteklemeyi 2017 yılının sonlarına kadar sürdürecektir.
SHA-1 imzalı kök CA sertifikaları, kurumsal olarak dağıtılmış SHA-1 sertifikaları ve kullanıcılar tarafından yüklenmiş SHA-1 sertifikaları bu değişiklikten etkilenmeyecektir.
Neler değişti?
macOS Sierra 10.12.4 ve iOS 10.3'de kullanıcı, SHA-1 imzalı sertifika kullanarak TLS bağlantısı oluşturmaya çalışan bir web sayfasına gittiğinde Safari'de bir bildirim görüntülenir. Kullanıcının, siteyi yüklemek için bunu tıklaması gerekir. Yüklendikten sonra site, Safari'de güvenli olmayan bir bağlantı olarak görünür.
Sitenin sertifikası SHA-1 imzalıysa TLS kullanan bir siteye bağlanmak için WebKit'i kullanan uygulamalar hatayla karşılaşır. Geliştiricilerin, uygulamalarının bu hatalarla başa çıkabileceğinden emin olması gerekir.
Ne yapmam gerekiyor?
Geliştiricilerin ve web sitesi operatörlerinin sitelerine bağlanırken kullanıcıların uyarılarla karşılaşmasını önlemek için bu geliştiricilerin ve web sitesi operatörlerinin mümkün olan en kısa sürede SHA-256 imzalı sertifikalara geçmesi gerekmektedir. SHA-256 imzalı sertifikaları sağlayan birçok CA operatörü vardır.
Platformlarımızdaki varsayılan güvenli mağazada bulunan kök CA sertifikalarının listesi için aşağıdaki makalelere bakın: