首页>安全资讯>2017 WWDC:苹果新版系统对SSL做了什么

2017 WWDC:苹果新版系统对SSL做了什么

上周,苹果为开发者主办的2017年度WWDC大会,其中一个重大公告是新版本的操作系统:High Sierra for macOS,iOS 11,tvOS 11和watchOS 4。苹果花了一些时间来谈论他们对平台的加密库以及对SSL/TLS支持的改进。

2017年度WWDC大会

新版证书错误UI

证书错误UI已在High Sierra的证书查看器和Safari中重新设计。在Safari中,新的错误页面被设计为只给出一个简单的英文解释,而不会调用诸如“协议”或“签名”之类的术语。与Chrome的用户界面有一些相似之处。

新版证书错误UI

证书查看器还有更多特定消息展示,在下面的屏幕截图中,您可以看到一条警告信息,显示特定的证书信任错误。在以下案例中,错误信息显示“该证书无法验证(弱摘要算法)”是由于使用了SHA-1签名。

证书错误信息

改进撤销检查

苹果公司为其平台推出了一项新的撤销检查方法, 它没有给出一个合适的名称,但它的操作类似于Mozilla的OneCRL。

改进撤销检查

Apple的方法是,首先扫描证书透明度日志以发现其平台上信任的证书,然后它从证书颁发机构查询已发现的证书的撤销状态。关于撤销证书的所有信息都捆绑在一起,并定期自动静默分发到客户端设备(如Macbook和iPhone)。

当创建TLS连接时,客户端将检查证书是否在集中式列表中被标记为已撤销。如果将其标记为已撤销,客户端将执行实时OCSP检查以确认是否准确。一旦确认,客户端就明白证书被撤销,拒绝建立连接。如果服务器提供OCSP Stapling响应,它将使用OCSP Stapling作为确认,而不是执行实时检查。如果证书没有被集中列表标记为已撤销,则不使用OCSP。

从OpenSSL切换到LibreSSL

High Sierra已将SSL库从OpenSSL 0.9.8zh切换到LibreSSL 2.2.7。LibreSSL是OpenBSD支持的OpenSSL的分支。安全传输是苹果自己的SSL/TLS API,但主要用于苹果第一方软件,LibreSSL将作为SSL库服务第三方软件。

扩大ATS豁免范围

苹果安全传输工程师Chris Wood谈到ATS(应用程序安全传输)的采用和使用。Wood解释说,苹果在收到开发者的反馈意见后,正在扩大对ATS豁免的支持,过渡时间比预期要长。

但是,Wood指出苹果仍然通过ATS机制全力推动HTTPS,在正确过渡到HTTPS之前,开发人员依赖的这些豁免都是临时的。

新的苹果操作系统现在将支持以下框架的ATS豁免:AVFoundation,WebView和Webkit。本地网络连接(IP地址和不合格的主机名)也将配置豁免。

可以豁免的范围限定在特定的域名或整个App,还将有一种方法指示您是否要为证书透明度的合规性检查主机名的证书。

TLS 1.3 Beta版

最新版本TLS 1.3尚未有IETF最终确定,High Sierra和iOS11支持TLS 1.3的草案规范,预期最终形式非常相似。这允许开发人员在其正式版完成之前开始测试TLS 1.3。

Chris Wood强调TLS 1.3的握手时间更快。他分享了苹果分析,发现10%通过蜂窝网络进行的TLS连接需要800ms或更长时间,而10%通过Wifi进行的TLS连接需要500ms或更长时间。使用TLS 1.3更有效的握手过程,连接时间可以减少三分之一。

您可以下载和安装配置文件,在iOS 11上启用TLS 1.3。

终止对SHA-1和低于2048位私钥的支持

使用SHA-1或使用低于2048位私钥签名的证书,在Hign Sierra,iOS 11,watchOS 4或tvOS 11中将不被信任。通过移动设备管理(MDM)分发的证书或通过Safari、邮件或钥匙串访问的用户,还可以继续使用弱散列算法和弱加密密钥。

RC4和3-DES将在未来被移除

这两个老化的加密算法RC4和3-DES将在未来的苹果平台上被删除,目前还没有具体的日期,但是开发人员应该开始移除这些早就脆弱不堪的加密算法。

编者注:为了平稳过渡到HTTPS,苹果ATS对部分框架豁免强制ATS,不过这些都是临时的举措。开发者还是要尽快调整App支持HTTPS,避免苹果政策调整,仓促应对。沃通SSL证书,符合苹果ATS标准,本地化服务支持团队可全程协助用户完成证书部署,直至用户安全正确部署证书,符合ATS要求。

原文来源:hashedout 沃通CA翻译整理,转载请注明出处http://www.wosign.com/News/2017WWDC-SSL.htm

相关资讯:

沃通SSL证书符合苹果ATS标准

从2017年1月1日开始,苹果iOS APP必须开启ATS(强制使用HTTPS连接)才能通过App Store的审核,顺利上架。沃通新证书产品受苹果iOS系统和safari浏览器信任,...

苹果iOS APP配置HTTPS,苹果ATS标准解决方案

2017年1月1日起,所有提交到App Store的应用强制开启ATS(强制使用HTTPS连接),届时还未升级HTTPS的应用或将不能在App Store顺利上架,立即查看《苹果iOS APP配置HTTPS...

iOS App强制使用HTTPS,启用App Transport Security(ATS)

6月14日在WWDC 2016开发者大会上,苹果宣布了一个最后期限:2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport Security(ATS)安全功能。

iOS APP怎么配置HTTPS,iOS APP配置HTTPS流程

您的APP启用HTTPS了吗?距离2017年1月1日苹果iOS强制要求HTTPS连接还有不到1个月的时间,是否支持HTTPS直接影响APP能否在苹果商店顺利上架。本文将帮助您...