改用 SHA-256 簽署憑證以避免連線失敗
使用 TLS 安全性的 SHA-1 簽署憑證的開發人員、網站經營者和伺服器管理者,應儘速改用 SHA-256 簽署憑證。
對用於 Safari 和 WebKit 中傳輸層安全性(TLS)的 SHA-1 簽署憑證支援,將在 macOS Sierra 10.12.4、iOS 10.3、tvOS 10.2 和 watchOS 3.2 發佈後中止。這些更新已移除對作業系統預設信任憑證庫中由根憑證授權單位(CA)核發的所有憑證的支援。
今年秋天推出的 macOS High Sierra 10.13、iOS 11、tvOS 11 和 watchOS 4,不再支援任何 TLS 連線適用的 SHA-1 簽署憑證。
SHA-1 簽署的根 CA 憑證、企業發佈的 SHA-1 憑證,以及使用者安裝的 SHA-1 憑證不會受影響。
變更內容為何?
在 macOS Sierra 10.12.4 和以上版本以及 iOS 10.3 和以上版本中,若使用者瀏覽的網頁嘗試使用 SHA-1 簽署憑證建立 TLS 連線,Safari 會顯示通知,使用者必須按一下通知才能載入該網站。載入後,該網站會在 Safari 中顯示為不安全的連線。
App 使用 WebKit 以 TLS 方式連線至網站時,若該網站採用 SHA-1 簽署憑證,app 將收到錯誤。開發人員必須確保其 app 能夠處理這類錯誤。
在 macOS High Sierra 10.13、iOS 11、tvOS 11 和 watchOS 4 中,任何嘗試使用 SHA-1 簽署憑證來建立 TLS 連線的 app,都將無法連線。其中包含郵件、行事曆、VPN 和其他服務所使用的伺服器。
我需要做什麼?
開發人員、網站經營者和伺服器管理者應儘速改用 SHA-256 簽署憑證,以避免出現警告和連線失敗。許多 CA 經營者都有提供 SHA-256 簽署憑證。
如需 Apple 平台上預設信任憑證庫中所包含的根 CA 憑證列表,請參閱: