Prošlog četvrtka, 12., Apple je predstavio konačnu verziju macOS Big Sur-a i gotovo tjedan dana kasnije počeli smo provjeravati prve probleme ove nove verzije. Ne samo na razini kompatibilnost s nekim Mac računalima, posebno kod starijih modela kompatibilnih s novom verzijom operativnog sustava, ako ne postoje i poteškoće pri otvaranju određenih aplikacija dok ste povezani na Internet. Čini se da problem leži na Appleovom OCSP poslužitelju.
Da bismo malo bolje razumjeli problem, potrebno je iz prve ruke znati od čega se sastoje Appleov OCSP poslužitelj i Gatekeeper.
Svi Mac računali dolaze sa sigurnosnim sustavom koji provjerava jesu li aplikacije koje pokrećemo sigurne. Ova se provjera temelji na malom certifikatu koji je uključen u aplikaciju i koji utvrđuje da ih je Apple potvrdio kad im ga je programer poslao i potvrdio da je sve točno. Sustav mora provjeriti je li još uvijek valjan i nije opozvan iz sigurnosnih razloga. Dakle, s izvršavanjem svake aplikacije, sustav pita poslužitelje OCSP (mrežni protokol o statusu certifikata) statusom potvrde. Ako Apple poslužitelji odgovore da i dalje vrijedi, aplikacija se pokreće bez daljnjeg odlaganja.
Sad, imajte na umu to ova veza s poslužiteljima nije šifrirana. Kad bi se koristila HTTPS veza, ušla bi u beskrajnu petlju. HTTPS treba provjeriti pomoću OCSP-a, a HTTPS provjeru treba koristiti za provjeru OCSP-a i tako dalje.
Uz macOS Big usr OCSP promet ostaje nešifriran
Nakon pokretanja macOS Big Sur-a u četvrtak, korisnici Maca počeli su imati problema s otvaranjem aplikacija dok su bili povezani na Internet. Appleova stranica statusa sustava pripisala je situaciju problemima s javnobilježničkom uslugom ID-a programera, a programer Jeff Johnson precizirao je da postoje problemi s vezom s Appleovim OCSP poslužiteljem. Dodao je Jeffrey Paul Uz to, OCSP promet koji generira macOS nije šifriran i mogli bi ga vidjeti ISP-ovi (dobavljači internetskih usluga).
Apple je odgovorio na to pitanje ažuriranje vašeg dokumenta podrške "Sigurno otvaranje aplikacija na vašem Macu" s novim informacijama:
macOS je dizajniran da zaštiti korisnike i njihove podatke poštujući njihovu privatnost. Gatekeeper provodi mrežne provjere da li aplikacija sadrži poznati zlonamjerni softver i je li opozvan certifikat za potpisivanje programera. Nikada nismo kombinirali podatke iz ovih kontrola s podacima o Appleovim korisnicima ili njihovim uređajima. Podatke iz ovih provjera ne koristimo da bismo otkrili koji pojedinačni korisnici pokreću ili rade na svojim uređajima. Ovjera provjerava sadrži li aplikacija poznati zlonamjerni softver pomoću šifrirane veze koja je otporna na kvar poslužitelja.
Ove sigurnosne provjere Nikada nisu uključili korisnikov Apple ID ili identitet svog uređaja. Kako bismo dodatno zaštitili privatnost, zaustavili smo evidentiranje IP adresa povezanih s provjerama certifikata Developer ID i pobrinut ćemo se da se sve prikupljene IP adrese uklone iz dnevnika.
Pored svega navedenog, kalifornijska tvrtka planira uvesti nekoliko promjena u sustav tijekom sljedeće godine:
- Un novi šifrirani protokol za provjere opoziva certifikata ID-a programera
- Poboljšanja zaštite u slučaju kvara poslužitelja.
- Nova preferencija za korisnike odnpten zbog nesudjelovanja u tim sigurnosnim zaštitama. Na taj način, ako se bilo koji korisnik radije izloži riziku od neprovjerenih aplikacija, može na svoju odgovornost potpuno deaktivirati sustav.
Poanta je u tome što Apple želi poštivati privatnost korisnika, pa modificira svoj dokument o podršci i iznosi buduće planove za poboljšanje ovih problema. Pažljivo ćemo pratiti ovu evoluciju, jer ja osobno jedna od karakteristika koju najviše hvalim