Dijous passat dia 12, Apple va presentar la versió definitiva de macOS Big Sud i gairebé una setmana després vam començar a comprovar els primers problemes d'aquesta nova versió. No només a nivell de compatibilitat amb un Mac, En concret amb els models més antics compatibles amb la nova versió de sistema operatiu, sinó que a més hi ha dificultats a l'hora d'obrir determinades aplicacions mentre s'està connectat a Internet. Sembla que el problema resideix a servidor OCSP d'Apple.
Per entendre una mica millor el problema, cal conèixer de primera mà en què consisteix el servidor OCSP d'Apple i Gatekeeper.
Tots els Mac vénen amb un sistema de seguretat que comprova que les aplicciones que executem són segures. Aquesta comprovació es basa en un petit certificat que ve inclòs en l'app i que estableix que Apple ha verificat les mateixes quan el desenvolupador se l'ha enviat i ha comprovat que tot està correcte. El sistema ha de comprovar que el mateix segueixi sent vàlid i no hagi estat revocat per motius de seguretat. Així que amb l'execució de cada aplicació, el sistema pregunta als servidors OCSP (Online Certificate Status Protocol) per l'estat de l'certificat. Si els servidors d'Apple responen que segueix sent vàlid, l'app arrenca sense més.
Ara bé, cal tenir en compte que aquesta connexió amb els servidors no és xifrada. Si es fes servir una connexió HTTPS s'entraria en un bucle sense final. S'hauria comprovar el HTTPS mitjançant el OCSP i per comprovar el OCSP hauria d'usar-la comprovació de HTTPS i així successivament.
Amb macOS Big usr el tràfic OCSP segueix sense estar encriptat
Després del llançament de macOS Big Sud dijous, els usuaris de Mac van començar a experimentar problemes a l'obrir aplicacions mentre estaven connectats a Internet. La pàgina d'estat el sistema d'Apple va atribuir la situació a problemes amb el seu servei de notari de ID de desenvolupador, i el desenvolupador Jeff Johnson va especificar que hi va haver problemes de connexió amb el servidor OCSP d'Apple. Jeffrey Paul va afegir a més que el trànsit OCSP que genera macOS no està encriptat i podria ser vist pels ISP (Internet Service Provider).
Apple ha respost a l'assumpte actualitzant el seu document de suport «Obrir aplicacions de forma segura en el seu Mac» amb nova informació:
macOS ha estat dissenyat per mantenir segurs els usuaris i les seves dades respectant la seva privacitat. Gatekeeper realitza comprovacions en línia per verificar si una aplicació conté malware conegut i si el certificat de signatura de l'desenvolupador està revocat. Mai hem combinat les dades d'aquests controls amb informació sobre els usuaris d'Apple o els seus dispositius. No utilitzem les dades d'aquestes comprovacions per saber quins usuaris individuals estan iniciant o executant en els seus dispositius. La Notarización verifica si l'aplicació conté malware conegut mitjançant una connexió encriptada que sigui resistent a errors de servidor.
Aquests controls de seguretat mai han inclòs l'ID d'Apple de l'usuari o la identitat del seu dispositiu. Per protegir encara més la privacitat, hem deixat de registrar les adreces IP associades amb les verificacions de certificats de ID de desenvolupador i ens assegurarem que totes les adreces IP recopilades s'eliminin dels registres.
A part de tot això, l'empresa californiana planeja introduir diversos canvis en el sistema durant el proper any:
- Un nou protocol encriptat per a verificacions de revocació de certificats de ID de desenvolupador
- Millores en les proteccions en cas que es produeixin errors al servidor.
- Una nova preferència perquè els usuaris oPTEN per no participar en aquestes proteccions de seguretat. D'aquesta manera si algun usuari prefereix exposar-se a el risc d'apps no comprovades, podrà desactivar, sota la seva responsabilitat, el sistema per complet.
La qüestió és que Apple sí que vol respectar la privacitat de l'usuari, per això modifica el seu document de suport i dóna a conèixer els plans de futur per millorar aquestes qüestions. Seguirem amb atenció aquesta evolució, perquè jo personalment una de les característiques que més lloo