在 macOS Sierra 10.12.4、iOS 10.3、tvOS 10.2 和 watchOS 3.2 中,已移除對用於 Safari 和 WebKit 中傳輸層安全性(TLS)的 SHA-1 簽署憑證支援。
這些更新已移除支援作業系統預設信任憑證庫中由根憑證授權單位(CA)核發的所有憑證。其他所有 TLS 連線將繼續支援 SHA-1 簽署憑證到 2017 年末。
SHA-1 簽署的根 CA 憑證、企業發佈的 SHA-1 憑證,以及使用者安裝的 SHA-1 憑證不受此變更影響。
有哪些改變?
在 macOS Sierra 10.12.4 和 iOS 10.3 中,若使用者瀏覽的網頁嘗試使用 SHA-1 簽署憑證建立 TLS 連線,Safari 會顯示通知,使用者必須按一下才能載入網站。載入後,該網站會在 Safari 中顯示為不安全的連線。
App 使用 WebKit 以 TLS 方式連線至網站時,若該網站採用 SHA-1 簽署憑證,app 將收到錯誤。開發人員必須確保其 app 能夠處理這類錯誤。
我需要做什麼?
開發人員和網站業者應儘速改為使用 SHA-256 簽署憑證,以避免在使用者連線至其網站時出現警告訊息。有許多 CA 業者提供 SHA-256 簽署憑證。
如需 Apple 平台上預設信任憑證庫中所包含的根 CA 憑證列表,請參閱: