El pasado jueves día 12, Apple presentó la versión definitiva de macOS Big Sur y casi una semana después empezamos a comprobar los primeros problemas de esta nueva versión. No sólo a nivel de compatibilidad con algunos Mac, en concreto con los modelos más antiguos compatibles con la nueva versión del sistema operativo, si no que además existen dificultades a la hora de abrir determinadas aplicaciones mientras se está conectado a Internet. Parece que el problema reside al servidor OCSP de Apple.
Para entender un poco mejor el problema, es necesario conocer de primera mano en qué consiste el servidor OCSP de Apple y Gatekeeper.
Todos los Mac vienen con un sistema de seguridad que comprueba que las aplicciones que ejecutamos son seguras. Esta comprobación se basa en un pequeño certificado que viene incluido en la app y que establece que Apple ha verificado las mismas cuando el desarrollador se la ha enviado y ha comprobado que todo está correcto. El sistema debe comprobar que el mismo siga siendo válido y no haya sido revocado por motivos de seguridad. Así que con la ejecución de cada aplicación, el sistema pregunta a los servidores OCSP (Online Certificate Status Protocol) por el estado del certificado. Si los servidores de Apple responden que sigue siendo válido, la app arranca sin más.
Ahora bien, hay que tener en cuenta que esta conexión con los servidores no es cifrada. Si se usara una conexión HTTPS se entraría en un bucle sin final. Se debería comprobar el HTTPS mediante el OCSP y para comprobar el OCSP debería usarse la comprobación de HTTPS y así sucesivamente.
Con macOS Big usr el tráfico OCSP sigue sin estar encriptado
Tras el lanzamiento de macOS Big Sur el jueves, los usuarios de Mac comenzaron a experimentar problemas al abrir aplicaciones mientras estaban conectados a Internet. La página de estado del sistema de Apple atribuyó la situación a problemas con su servicio de notario de ID de desarrollador, y el desarrollador Jeff Johnson especificó que hubo problemas de conexión con el servidor OCSP de Apple. Jeffrey Paul añadió además que el tráfico OCSP que genera macOS no está encriptado y podría ser visto por los ISP (Internet Service Provider).
Apple ha respondido al asunto actualizando su documento de soporte «Abrir aplicaciones de forma segura en su Mac» con nueva información:
macOS ha sido diseñado para mantener seguros a los usuarios y sus datos respetando su privacidad. Gatekeeper realiza comprobaciones en línea para verificar si una aplicación contiene malware conocido y si el certificado de firma del desarrollador está revocado. Nunca hemos combinado los datos de estos controles con información sobre los usuarios de Apple o sus dispositivos. No utilizamos los datos de estas comprobaciones para saber qué usuarios individuales están iniciando o ejecutando en sus dispositivos. La notarización verifica si la aplicación contiene malware conocido mediante una conexión encriptada que sea resistente a fallos del servidor.
Estos controles de seguridad nunca han incluido el ID de Apple del usuario o la identidad de su dispositivo. Para proteger aún más la privacidad, hemos dejado de registrar las direcciones IP asociadas con las verificaciones de certificados de ID de desarrollador y nos aseguraremos de que todas las direcciones IP recopiladas se eliminen de los registros.
Aparte de todo lo anterior, la empresa californiana planea introducir varios cambios en el sistema durante el próximo año:
- Un nuevo protocolo encriptado para verificaciones de revocación de certificados de ID de desarrollador
- Mejoras en las protecciones en caso de que se produzcan fallos en el servidor.
- Una nueva preferencia para que los usuarios opten por no participar en estas protecciones de seguridad. De esta manera si algún usuario prefiere exponerse al riesgo de apps no comprobadas, podrá desactivar, bajo su responsabilidad, el sistema por completo.
La cuestión es que Apple sí quiere respetar la privacidad del usuario, por eso modifica su documento de soporte y da a conocer los planes de futuro para mejorar estas cuestiones. Seguiremos con atención esta evolución, porque yo personalmente una de las características que más alabo