上周,苹果为开发者主办的2017年度WWDC大会,其中一个重大公告是新版本的操作系统:High Sierra for macOS,iOS 11,tvOS 11和watchOS 4。苹果花了一些时间来谈论他们对平台的加密库以及对SSL / TLS支持的改进。
新版证书错误UI
证书错误UI已在High Sierra的证书查看器和Safari中重新设计。在Safari中,新的错误页面被设计为只给出一个简单的英文解释,而不会调用诸如“协议”或“签名”之类的术语。与Chrome的用户界面有一些相似之处。
证书查看器还有更多特定消息展示,在下面的屏幕截图中,您可以看到一条警告信息,显示特定的证书信任错误。在以下案例中,错误信息显示“该证书无法验证(弱摘要算法)”是由于使用了SHA-1签名。
改进撤销检查
苹果公司为其平台推出了一项新的撤销检查方法,它没有给出一个合适的名称,但它的操作类似于Mozilla的OneCRL。
Apple的方法是,首先扫描证书透明度日志以发现其平台上信任的证书,然后它从证书颁发机构查询已发现的证书的撤销状态。关于撤销证书的所有信息都捆绑在一起,并定期自动静默分发到客户端设备(如Macbook和iPhone)。
当创建TLS连接时,客户端将检查证书是否在集中式列表中被标记为已撤销。如果将其标记为已撤销,客户端将执行实时OCSP检查以确认是否准确。一旦确认,客户端就明白证书被撤销,拒绝建立连接。如果服务器提供OCSP Stapling响应,它将使用OCSP Stapling作为确认,而不是执行实时检查。如果证书没有被集中列表标记为已撤销,则不使用OCSP。
从OpenSSL切换到LibreSSL
High Sierra已将SSL库从OpenSSL 0.9.8zh切换到LibreSSL 2.2.7。LibreSSL是OpenBSD支持的OpenSSL的分支。安全传输是苹果自己的SSL/TLS API,但主要用于苹果第一方软件,LibreSSL将作为SSL库服务第三方软件。
扩大ATS豁免范围
苹果安全传输工程师Chris Wood谈到ATS(应用程序安全传输)的采用和使用。Wood解释说,苹果在收到开发者的反馈意见后,正在扩大对ATS豁免的支持,过渡时间比预期要长。
但是,Wood指出苹果仍然通过ATS机制全力推动HTTPS,在正确过渡到HTTPS之前,开发人员依赖的这些豁免都是临时的。
新的苹果操作系统现在将支持以下框架的ATS豁免:AVFoundation,WebView和Webkit。本地网络连接(IP地址和不合格的主机名)也将配置豁免。
可以豁免的范围限定在特定的域名或整个App,还将有一种方法指示您是否要为证书透明度的合规性检查主机名的证书。
TLS 1.3 Beta版
最新版本TLS 1.3尚未有IETF最终确定,High Sierra和iOS11支持TLS 1.3的草案规范,预期最终形式非常相似。这允许开发人员在其正式版完成之前开始测试TLS 1.3。
Chris Wood强调TLS 1.3的握手时间更快。他分享了苹果分析,发现10%通过蜂窝网络进行的TLS连接需要800ms或更长时间,而10%通过Wifi进行的TLS连接需要500ms或更长时间。使用TLS 1.3更有效的握手过程,连接时间可以减少三分之一。
您可以下载和安装配置文件,在iOS 11上启用TLS 1.3。
终止对SHA-1和低于2048位私钥的支持
使用SHA-1或使用低于2048位私钥签名的证书,在Hign Sierra,iOS 11,watchOS 4或tvOS 11中将不被信任。通过移动设备管理(MDM)分发的证书或通过Safari、邮件或钥匙串访问的用户,还可以继续使用弱散列算法和弱加密密钥。
RC4和3-DES将在未来被移除
这两个老化的加密算法RC4和3-DES将在未来的苹果平台上被删除,目前还没有具体的日期,但是开发人员应该开始移除这些早就脆弱不堪的加密算法。
原文来源:hashedout沃通CA翻译整理,转载请注明出处。
网友评论