macOS 可用的受信任根憑證清單

macOS 信任憑證庫載有隨 macOS 預先安裝的受信任根憑證。

封鎖對 WoSign CA Free SSL Certificate G2 的信任

Certificate Authority WoSign 在其 WoSign CA Free SSL Certificate G2 中繼 CA 發證程序中,遇到多次控制失敗。雖然 Apple 受信任根清單中沒有 WoSign 根,但此中繼 CA 已透過與 StartCom 和 Comodo 的交叉簽署憑證關係,在 Apple 產品上建立信任。

基於這些發現,我們已在安全性更新中採取行動來保護使用者。Apple 產品不再信任 WoSign CA Free SSL Certificate G2 中繼 CA。

為免對現有 WoSign 憑證持有者造成干擾,並讓他們能夠轉換至受信任根,Apple 產品仍會信任 2016 年 9 月 19 日前由此中繼 CA 發行,並發佈至公開憑證透明度記錄伺服器的個別現有憑證。這些憑證將會受信任至其到期、被撤銷,或 Apple 決定取消信任。

在調查過程中,我們將會按需要就 Apple 產品中的 WoSign/StartCom 信任錨採取進一步行動。

針對 WoSign 的其他措施

經進一步調查後,我們的結論是 WoSign 憑證授權單位 (CA) 除了在運作時遇到多次控制失敗,WoSign 更沒有披露 StartCom 收購事宜。

我們會在未來的安全性更新中,採取進一步行動來保護使用者。如果「Not Before」(不早於) 日期在 2016 年 12 月 1 日 00:00:00 GMT/UTC 或之後,Apple 產品將阻擋來自 WoSign 和 StartCom 根 CA 的憑證。

關於信任與憑證

下列每個 macOS 信任憑證庫包含三類憑證:

  • 受信任憑證會建立信任鏈,以驗證由受信任根簽署的其他憑證,例如用於與網頁伺服器建立安全連線。IT 管理員為 macOS 建立設定描述檔時,毋須加入這些受信任根憑證。
  • 「一律詢問」憑證未受信任但不會被封鎖。使用當中任何一種憑證時,系統會詢問你是否信任該憑證。
  • 「已封鎖」憑證相信已被盜用,絕不會再受信任。

發佈日期: