macOS Sierra 10.12.4、iOS 10.3、tvOS 10.2 和 watchOS 3.2 中移除了对 SHA-1 签名证书的支持,这类证书在 Safari 和 WebKit 中用于确保传输层安全性 (TLS)。
这些更新移除了对操作系统默认受信任证书存储区中所含的根证书认证机构 (CA) 发放的所有证书的支持。所有其他 TLS 连接将继续支持 SHA-1 签名证书,直至 2017 年末。
这一变更不会对 SHA-1 签名 CA 根证书、企业分发的 SHA-1 证书和用户安装的 SHA-1 证书产生影响。
变更内容
在 macOS Sierra 10.12.4 和 iOS 10.3 中,如果用户前往某个网页并尝试使用 SHA-1 签名证书创建 TLS 连接,Safari 会显示一个通知。用户必须点按这个通知,以载入相应站点。载入完毕后,这个站点会以非安全链接的形式出现在 Safari 中。
如果使用 TLS 的站点使用的是 SHA-1 签名证书,那么使用 WebKit 连接这类站点的应用会收到一个错误。开发者需确保他们的应用能够处理这类错误。
我需要做什么?
开发者和网站运营人员应尽快改用 SHA-256 签名证书,以防用户在连接站点时遇到警告。有多家 CA 运营商均可提供 SHA-256 签名证书。
有关我们平台上的默认受信任证书存储区中所含的 CA 根证书的列表,请参阅: