本文章已经归档,因此 Apple 将不再对其进行更新。

改用 SHA-256 签名证书以免连接失败

使用 SHA-1 签名证书来确保 TLS 安全性的开发者、网站运营者和服务器管理员应尽快改用 SHA-256 签名证书。

macOS Sierra 10.12.4、iOS 10.3、tvOS 10.2 和 watchOS 3.2 发布后,系统将停止对 SHA-1 签名证书的支持,这类证书在 Safari 和 WebKit 中用于确保传输层安全性 (TLS)。对于操作系统默认受信任证书存储区中所含的根证书认证机构 (CA) 发放的所有证书,这些更新移除了相应支持。

今秋将会发布的 macOS High Sierra 10.13、iOS 11、tvOS 11 和 watchOS 4 不支持使用 SHA-1 签名证书创建 TLS 连接。

以下证书不受影响:SHA-1 签名 CA 根证书、企业分发的 SHA-1 证书和用户安装的 SHA-1 证书。

更改的内容?

在 macOS Sierra 10.12.4 及更高版本和 iOS 10.3 及更高版本中,如果用户前往某个网页并尝试使用 SHA-1 签名证书创建 TLS 连接,Safari 会显示一条通知。用户必须点按这条通知才能载入站点。载入完毕后,这个站点会以非安全链接的形式出现在 Safari 中。

如果使用 TLS 的站点使用的是 SHA-1 签名证书,那么使用 WebKit 连接这类站点的应用会收到一个错误。开发者需确保他们的应用能够处理这类错误。

在 macOS High Sierra 10.13、iOS 11、tvOS 11 和 watchOS 4 中,尝试使用 SHA-1 签名证书创建 TLS 连接的应用将会连接失败。其中包括邮件、日历、VPN 和其他服务使用的服务器。

我需要做什么?

开发者、网站运营者和服务器管理员应尽快改用 SHA-256 签名证书,以防出现警告和连接失败。很多 CA 运营者都提供 SHA-256 签名证书。

有关我们平台上的默认受信任证书存储区中所含的 CA 根证书的列表,请参阅:

发布日期: