watchOS 中可用的受信任根憑證列表

watchOS 信任憑證庫包含隨 watchOS 預先安裝的受信任根憑證。

封鎖對 WoSign CA Free SSL Certificate G2 的信任

憑證授權單位 WoSign 在其 WoSign CA Free SSL Certificate G2 中繼 CA 發證程序中,遭遇多次控制失敗。雖然 Apple 受信任根列表中沒有 WoSign 根,但此中繼 CA 已利用與 StartCom 和 Comodo 的交叉簽署憑證關係,在 Apple 產品上建立信任。

有鑒於這些發現,我們在安全性更新中採取了行動來保護使用者。Apple 產品不再信任 WoSign CA Free SSL Certificate G2 中繼 CA。

為了避免對現有 WoSign 憑證持有者造成干擾,並且讓他們能夠轉換至受信任根,Apple 產品在 2016 年 9 月 19 日前,信任由此中繼 CA 發行並發佈至公用憑證透明度記錄伺服器的個別現有憑證。這些憑證將會受信任至其到期、撤銷,或 Apple 決定取消信任。

隨著調查工作的進行,我們將會依需要,針對 Apple 產品中的 WoSign/StartCom 信任錨採取進一步行動。

WoSign 的詳細步驟

進一步調查之後,我們認定 WoSign 憑證授權單位(CA)在運作時除了遭遇多次控制失敗之外,WoSign 並未揭露取得 StartCom。

我們將會在未來的安全性更新中,採取行動來保護使用者。如果「不早於」日期在 2016 年 12 月 1 日 00:00:00 GMT/UTC 或之後,Apple 產品將阻擋來自 WoSign 和 StartCom 根 CA 的憑證。

關於信任和憑證

下列每個 watchOS 信任憑證庫包含三類憑證:

  • 受信任憑證建立一連串的信任,其驗證其他由受信任根所簽署的憑證,例如用以建立對網頁伺服器的安全連線。IT 管理者為 watchOS 建立設定描述檔時,不需要納入這些受信任根憑證。
  • 「永遠先詢問」憑證未受信任但也不會遭到封鎖。
  • 系統將「已封鎖」憑證認定為遭盜用,而且絕對不會予以信任。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: