macOS 中可用的受信任根憑證列表

macOS 信任憑證庫包含隨 macOS 預先安裝的受信任根憑證。

封鎖對 WoSign CA Free SSL Certificate G2 的信任

憑證授權單位 WoSign 在 WoSign CA Free SSL Certificate G2 中繼 CA 的發證程序中,出現多次控制失敗。雖然 Apple 受信任根列表中沒有 WoSign 根,但此中繼 CA 已利用與 StartCom 和 Comodo 的交叉簽署憑證關係,在 Apple 產品上建立信任。

基於這些發現,我們已在安全性更新中採取行動來保護使用者。Apple 產品不再信任 WoSign CA Free SSL Certificate G2 中繼 CA。

為了避免對現有 WoSign 憑證持有者造成干擾,並且允許轉換至受信任根,Apple 產品會信任 2016 年 9 月 19 日前,由此中繼 CA 前發行,並發佈至公用憑證透明度記錄伺服器的個別現有憑證。這些憑證將會受信任,直到到期、撤銷或 Apple 決定取消信任為止。

隨著調查工作的進行,我們將會依需要,針對 Apple 產品中的 WoSign/StartCom 信任錨採取進一步行動。

WoSign 的詳細步驟

進一步調查之後,我們認定 WoSign 憑證授權單位(CA)在運作時,除了出現多次控制失敗之外,WoSign 更未告知已經收購 StartCom。

我們會在未來的安全性更新中,採取行動來保護使用者。如果 WoSign 和 StartCom 根 CA 的憑證 Not Before(有效起始)日期在 2016 年 12 月 1 日 00:00:00 GMT/UTC 或之後,Apple 產品就會加以阻擋。

關於信任和憑證

下列的每個 macOS 信任憑證庫都包含三種憑證:

  • 「受信任」的憑證會建立一連串的信任,藉此驗證受信任根簽署的其他憑證,例如:建立對網頁伺服器的安全連線。IT 管理者為 macOS 建立設定描述檔時,不需將這些受信任根憑證納入。
  • 「永遠先詢問」的憑證雖未受信任,但也不會遭到封鎖。使用這類憑證時,系統會讓您選擇是否信任。
  • 「已封鎖」的憑證會被認定遭盜用,而絕對不會予以信任。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: