Eelmisel neljapäeval, 12. päeval esitles Apple macOS Big Suri lõplikku versiooni ja peaaegu nädal hiljem hakkasime kontrollima selle uue versiooni esimesi probleeme. Mitte ainult ühilduvus mõne Maciga, eriti operatsioonisüsteemi uue versiooniga ühilduvate vanemate mudelite puhul, kui mitte, siis on ka Interneti-ühenduse loomisel teatud rakenduste avamisel raskusi. Näib, et probleem seisneb Apple'i OCSP-serveris.
Probleemi veidi paremaks mõistmiseks on vaja omast käest teada, millest Apple'i OCSP-server ja väravavahi koosnevad.
Kõigil Macidel on turvasüsteem, mis kontrollib meie käitatavate rakenduste ohutust. See kontroll põhineb väikesel sertifikaadil, mis on rakenduses kaasas ja kus öeldakse, et Apple on need kontrollinud, kui arendaja on neile selle saatnud ja kinnitanud, et kõik on õige. Süsteem peab kontrollima, kas see on endiselt kehtiv ja kas seda pole turvakaalutlustel tühistatud. Nii et iga rakenduse käivitamisel küsib süsteem serveritelt OCSP (võrgusertifikaadi oleku protokoll) sertifikaadi staatuse järgi. Kui Apple'i serverid vastavad, et see on endiselt kehtiv, käivitatakse rakendus pikema jututa.
Nüüd pidage seda meeles see ühendus serveritega pole krüpteeritud. Kui kasutataks HTTPS-ühendust, siseneks see lõputusse kontuuri. HTTPS-i peaks kontrollima OCSP ja HTTPS-kontrollimist tuleks kasutada OCSP-i ja nii edasi.
MacOS-i kasutamisel on OCSP-i kasutamisel suur krüptimata OCSP-liiklus
Pärast MacOS Big Suri neljapäevast käivitamist hakkasid Maci kasutajad Interneti-ühenduse ajal rakenduste avamisega probleeme tekitama. Apple'i süsteemi olekulehel seostati olukorda probleemidega arendaja ID notariteenusega ning arendaja Jeff Johnson täpsustas, et Apple'i OCSP-serveriga on ühenduse probleeme. Jeffrey Paul lisas Lisaks pole krüpteeritud macOS-i poolt loodud OCSP-liiklust ja seda võisid näha Interneti-teenuse pakkujad (Interneti-teenuse pakkujad).
Apple on asjale reageerinud oma tugidokumendi värskendamine "Avage rakendused ohutult oma Macis" uue teabega:
macOS on loodud kasutajate ja nende andmete turvalisuse tagamiseks, austades samas nende privaatsust. Gatekeeper kontrollib veebipõhiselt, kas rakendus sisaldab teadaolevat pahavara ja kas arendaja allkirjastamise sertifikaat on tühistatud. Me pole kunagi ühendanud nende juhtimisseadmete andmeid Apple'i kasutajate või nende seadmete kohta käiva teabega. Me ei kasuta nende kontrollide andmeid selleks, et teada saada, millised üksikud kasutajad oma seadmeid käivitavad või töötavad. Notariaalselt kinnitatakse, kas rakendus sisaldab teadaolevat pahavara krüptitud ühenduse kasutamine, mis on vastupidav serveri tõrgetele.
Need turvakontrollid Nad pole kunagi lisanud kasutaja Apple ID-d ega oma seadme identiteeti. Privaatsuse täiendavaks kaitsmiseks oleme arendaja ID sertifikaatide kontrollidega seotud IP-aadresside logimise peatanud ja tagame, et kõik kogutud IP-aadressid eemaldatakse logidest.
Peale kõige eeltoodu on California ettevõte kavatseb järgmise aasta jooksul süsteemi sisse viia mitmeid muudatusi:
- Un uus krüpteeritud protokoll arendaja ID sertifikaadi tühistamise kontrollimiseks
- Kaitse täiustused serveri rikete korral.
- Uus eelistus kasutajatele võipten selle eest, et ei osalenud nendes turvakaitsetes. Sel moel, kui mõni kasutaja eelistab ennast kontrollimata rakenduste riskile avaldada, võib ta oma vastutusel süsteemi täielikult deaktiveerida.
Asi on selles, et Apple soovib austada kasutajate privaatsust, seetõttu muudab ta oma tugidokumenti ja teeb teada nende tulevaste plaanide parandamiseks. Jälgime seda arengut hoolikalt, sest ma isiklikult olen üks omadustest, mida ma kõige rohkem kiidan