Списки доступних довірених кореневих сертифікатів у macOS

Магазин macOS Trust Store містить довірені кореневі сертифікати, які попередньо інсталюються з macOS.

Блокування довіри до центру сертифікації WoSign CA Free SSL Certificate G2

Центр сертифікації WoSign виявив кілька помилок, пов'язаних із керуванням, у процесах випуску сертифікатів для проміжного центру сертифікації WoSign CA Free SSL Certificate G2. Хоча в списках довірених сертифікатів Apple не має жодного кореневого сертифіката WoSign, цей проміжний центр сертифікації використовував зв'язок сертифікатів із перехресними підписами із центрами StartCom і Comodo, щоб встановити відношення довіри на продуктах Apple.

Зважаючи на це, ми внесли зміни в пакет оновлення безпеки, щоб захистити користувачів. Продукти Apple більше не довіряють проміжному центру сертифікації WoSign CA Free SSL Certificate G2.

Щоб не перешкоджати власникам сертифікатів WoSign та допомогти їм перейти на використання довірених кореневих сертифікатів, продукти Apple визнають окремі наявні сертифікати, які були видані цим проміжним центром сертифікації й опубліковані на загальнодоступних серверах журналів прозорості сертифікатів до 19 вересня 2016 року. Вони визнаватимуться довіреними, доки не завершиться термін їх дії, доки вони не будуть відкликані або доки не перестануть визнаватися довіреними за рішенням компанії Apple.

У процесі розслідування ми вживатимемо подальших дій щодо ключів довіри WoSign/StartCom у продуктах Apple, оскільки це необхідно для захисту користувачів.

Подальші кроки щодо WoSign

Після подальшого розслідування ми дійшли висновку, що помилки, пов'язані з керуванням, – не єдина проблема центру сертифікації WoSign. Він також не розкрив інформацію про придбання центру StartCom.

Ми продовжуємо вносити зміни в майбутній пакет оновлення безпеки, щоб захистити користувачів. Продукти Apple блокуватимуть сертифікати від кореневих центрів сертифікації WoSign і StartCom, якщо дата Not Before (Не раніше) буде 00:00:00 GMT/UTC 1 грудня 2016 року або пізніша.

Про довіру й сертифікати

Кожен наведений нижче магазин macOS Trust Store містить три категорії сертифікатів.

• Довірені сертифікати встановлюють ланцюжок довіри, який перевіряє інші сертифікати, підписані довіреними кореневими сертифікатами (наприклад, для встановлення безпечного підключення до веб-сервера). Коли ІТ-адміністратори створюють профілі конфігурацій для macOS, ці довірені кореневі сертифікати не потрібно включати.

• Сертифікати Always Ask не є довіреними, проте вони не блокуються. Коли використовується один із цих сертифікатів, вам буде запропоновано вибрати, чи варто йому довіряти.

• Вважається, що заблоковані сертифікати скомпрометовано, і їм ніколи не можна довіряти.

macOS Trust Store

• Список доступних довірених кореневих сертифікатів для iOS 12, macOS 10.14, watchOS 5 і tvOS 12

• Список доступних довірених кореневих сертифікатів для macOS High Sierra

• Список доступних довірених кореневих сертифікатів для macOS Sierra

• Список доступних довірених кореневих сертифікатів для OS X El Capitan

• Список доступних довірених кореневих сертифікатів для OS X Yosemite

• Список доступних довірених кореневих сертифікатів для OS X Mavericks