macOS 中可用的受信任根证书列表

macOS 受信任证书存储区中包含随 macOS 一并预装的受信任根证书。

阻止对于 WoSign CA 免费 SSL 证书 G2 的信任

在 WoSign CA 免费 SSL 证书 G2 中间 CA 的证书颁发过程中,证书颁发机构 WoSign 遇到了多个控制故障。虽然 WoSign 根证书不在 Apple 受信任根证书列表中,但此中间 CA 凭借与 StartCom 和 Comodo 建立的交叉签名证书关系,赢得了 Apple 产品的信任。

鉴于以上结果,我们采取了相应措施,力求通过安全性更新为用户提供保护。Apple 产品不再信任 WoSign CA 免费 SSL 证书 G2 中间 CA。

为避免现有 WoSign 证书持有者遭遇信任中断,并让他们有时间过渡到受信任的根证书,Apple 产品在 2016 年 9 月 19 前仍信任此中间 CA 颁发并已发布到公共证书透明度日志服务器的各个现有证书。这些证书将继续受信任,直至他们过期、被撤销或 Apple 决定不再予以信任为止。

当调查有所进展时,我们将根据需要对 Apple 产品中的 WoSign/StartCom 受信任证书定位点采取进一步措施,以便为用户提供保护。

针对 WoSign 的进一步措施

我们在进一步调查后得出结论,除了 WoSign 证书颁发机构 (CA) 在证书颁发过程中遇到的多个控制故障外,WoSign 并未披露 StartCom 的收购事宜。

我们会在即将发布的安全性更新中采取进一步措施,以便为用户提供保护。如果“Not Before”(不早于)日期为 GMT/UTC 2016 年 12 月 1 日 00:00:00 或之后,Apple 产品将阻止来自 WoSign 的证书和 StartCom 根证书 CA。

关于信任和证书

下列各个 macOS 受信任证书存储区均包含三类证书:

  • “可信”的证书用于建立信任链,以验证由受信任根证书签署的其他证书;例如,与网页服务器建立安全连接。IT 管理员在创建 macOS 配置描述文件时,无需提供这些受信任的根证书。
  • “始终询问”的证书不受信任,但不会被阻止。使用其中任一证书时,系统将提示您选择是否信任该证书。
  • “已阻止”的证书视为已被盗用,将永远不再受信任。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: