Afgelopen donderdag 12 juni presenteerde Apple de definitieve versie van macOS Big Sur en bijna een week later begonnen we de eerste problemen van deze nieuwe versie te controleren. Niet alleen op het niveau van compatibiliteit met sommige Macs, met name met de oudere modellen die compatibel zijn met de nieuwe versie van het besturingssysteem, zo niet, dan zijn er ook problemen bij het openen van bepaalde applicaties terwijl u verbonden bent met internet. Het lijkt erop dat het probleem bij de OCSP-server van Apple ligt.
Om het probleem een beetje beter te begrijpen, is het noodzakelijk om uit de eerste hand te weten waaruit de OCSP-server en Gatekeeper van Apple bestaan.
Alle Macs worden geleverd met een beveiligingssysteem dat controleert of de applicaties die we uitvoeren veilig zijn. Deze controle is gebaseerd op een klein certificaat dat in de app is opgenomen en waarmee wordt vastgesteld dat Apple ze heeft geverifieerd wanneer de ontwikkelaar het naar hen heeft gestuurd en heeft geverifieerd dat alles correct is. Het systeem moet controleren of het nog steeds geldig is en om veiligheidsredenen niet is ingetrokken. Dus bij de uitvoering van elke applicatie vraagt het systeem de servers OCSP (Online Certificaat Status Protocol) door de certificaatstatus. Als de Apple-servers antwoorden dat deze nog steeds geldig is, start de app zonder meer.
Houd daar nu rekening mee deze verbinding met de servers is niet versleuteld. Als er een HTTPS-verbinding zou worden gebruikt, zou deze in een eindeloze lus terechtkomen. HTTPS moet worden gecontroleerd met behulp van OCSP en HTTPS moet worden gebruikt om OCSP te controleren, enzovoort.
Met macOS Big usr is OCSP-verkeer nog steeds niet versleuteld
Na de lancering van macOS Big Sur op donderdag begonnen Mac-gebruikers problemen te krijgen met het openen van applicaties terwijl ze verbonden waren met internet. De systeemstatuspagina van Apple schreef de situatie toe aan problemen met de notarisdienst van de ontwikkelaar-ID, en ontwikkelaar Jeff Johnson gaf aan dat er verbindingsproblemen waren met de OCSP-server van Apple. Jeffrey Paul toegevoegd Bovendien is het OCSP-verkeer dat wordt gegenereerd door macOS niet versleuteld en het kan worden gezien door ISP's (Internet Service Providers).
Apple heeft op de kwestie gereageerd het bijwerken van uw ondersteuningsdocument "Open applicaties veilig op je Mac" met nieuwe informatie:
macOS is ontworpen om gebruikers en hun gegevens veilig te houden met respect voor hun privacy. Gatekeeper voert online controles uit om te zien of een applicatie bekende malware bevat en of het ondertekeningscertificaat van de ontwikkelaar is ingetrokken. We hebben de gegevens van deze bedieningselementen nooit gecombineerd met informatie over Apple-gebruikers of hun apparaten. We gebruiken de gegevens van deze controles niet om erachter te komen welke individuele gebruikers starten of draaien op hun apparaten. De notaris controleert of de applicatie bekende malware bevat met behulp van een gecodeerde verbinding die bestand is tegen serverstoringen.
Deze veiligheidscontroles Ze hebben nooit de Apple ID van de gebruiker of de identiteit van hun apparaat opgenomen. Om de privacy verder te beschermen, zijn we gestopt met het loggen van IP-adressen die zijn gekoppeld aan het controleren van ID-certificaten van ontwikkelaars en zullen we ervoor zorgen dat alle verzamelde IP-adressen uit de logboeken worden verwijderd.
Afgezien van al het bovenstaande, het Californische bedrijf is van plan om het komende jaar verschillende wijzigingen aan het systeem door te voeren:
- Un nieuw gecodeerd protocol voor intrekkingscontroles van ontwikkelaars-ID-certificaten
- Beveiligingsverbeteringen in het geval van serverstoringen.
- Een nieuwe voorkeur voor gebruikers ofpten voor het niet deelnemen aan deze beveiligingsmaatregelen. Op deze manier kunnen gebruikers, als ze zichzelf liever blootstellen aan het risico van niet-geverifieerde apps, onder hun verantwoordelijkheid het systeem volledig deactiveren.
Het punt is dat Apple de privacy van gebruikers wil respecteren, daarom past het zijn ondersteuningsdocument aan en maakt het toekomstige plannen bekend om deze problemen te verbeteren. We zullen deze evolutie zorgvuldig volgen, omdat ik persoonlijk een van de kenmerken ben die ik het meest roem