เมื่อวันพฤหัสบดีที่ 12 ที่ผ่านมา Apple ได้นำเสนอ macOS Big Sur เวอร์ชันสุดท้ายและเกือบหนึ่งสัปดาห์ต่อมาเราได้เริ่มตรวจสอบปัญหาแรกของเวอร์ชันใหม่นี้ ไม่เพียง แต่ในระดับ เข้ากันได้กับ Mac บางเครื่องโดยเฉพาะกับรุ่นเก่าที่เข้ากันได้กับระบบปฏิบัติการเวอร์ชันใหม่หากไม่มีปัญหาในการเปิดแอปพลิเคชันบางอย่างขณะเชื่อมต่อกับอินเทอร์เน็ต ดูเหมือนว่าปัญหาจะเกิดขึ้นกับเซิร์ฟเวอร์ OCSP ของ Apple
เพื่อให้เข้าใจปัญหาได้ดีขึ้นเล็กน้อยจำเป็นต้องทราบโดยตรงว่าเซิร์ฟเวอร์ OCSP ของ Apple และ Gatekeeper ประกอบด้วยอะไรบ้าง
Mac ทั้งหมดมาพร้อมกับระบบรักษาความปลอดภัยที่ตรวจสอบว่าแอปพลิเคชันที่เราเรียกใช้นั้นปลอดภัย การตรวจสอบนี้เป็นไปตามใบรับรองขนาดเล็กที่รวมอยู่ในแอปและระบุว่า Apple ได้ตรวจสอบแล้วเมื่อนักพัฒนาส่งมาให้และตรวจสอบแล้วว่าทุกอย่างถูกต้อง ระบบต้องตรวจสอบว่ายังใช้ได้และไม่ได้ถูกเพิกถอนเนื่องจากเหตุผลด้านความปลอดภัย ดังนั้นด้วยการดำเนินการของแต่ละแอปพลิเคชันระบบจะถามเซิร์ฟเวอร์ OCSP (โปรโตคอลสถานะใบรับรองออนไลน์) ตามสถานะใบรับรอง หากเซิร์ฟเวอร์ Apple ตอบกลับว่ายังใช้ได้แอปจะเริ่มทำงานโดยไม่ต้องกังวลใจอีกต่อไป
ตอนนี้โปรดทราบว่า การเชื่อมต่อกับเซิร์ฟเวอร์นี้ไม่ได้เข้ารหัส หากใช้การเชื่อมต่อ HTTPS การเชื่อมต่อจะเข้าสู่การวนซ้ำไม่รู้จบ ควรตรวจสอบ HTTPS โดยใช้ OCSP และควรใช้การตรวจสอบ HTTPS เพื่อตรวจสอบ OCSP เป็นต้น
การรับส่งข้อมูล OCSP ของ macOS Big usr ยังคงไม่ได้เข้ารหัส
หลังจากการเปิดตัว macOS Big Sur ในวันพฤหัสบดีผู้ใช้ Mac เริ่มประสบปัญหาในการเปิดแอปพลิเคชันในขณะที่เชื่อมต่อกับอินเทอร์เน็ต หน้าสถานะระบบของ Apple ระบุว่าสถานการณ์มีปัญหากับบริการรับรองเอกสาร ID ผู้พัฒนาและนักพัฒนาเจฟจอห์นสันระบุว่ามีปัญหาการเชื่อมต่อกับเซิร์ฟเวอร์ OCSP ของ Apple เจฟฟรีย์พอลกล่าวเสริม นอกจากนี้ทราฟฟิก OCSP ที่สร้างโดย macOS จะไม่เข้ารหัสและ ISP (ผู้ให้บริการอินเทอร์เน็ต) สามารถมองเห็นได้
Apple ได้ตอบสนองต่อเรื่องดังกล่าว อัปเดตเอกสารสนับสนุนของคุณ "เปิดแอปพลิเคชันอย่างปลอดภัยบน Mac ของคุณ" ด้วยข้อมูลใหม่:
macOS ได้รับการออกแบบมาเพื่อให้ผู้ใช้และข้อมูลของพวกเขาปลอดภัยในขณะที่เคารพความเป็นส่วนตัว Gatekeeper ทำการตรวจสอบออนไลน์เพื่อดูว่าแอปพลิเคชันมีมัลแวร์ที่รู้จักหรือไม่และใบรับรองการลงนามของผู้พัฒนาถูกเพิกถอนหรือไม่ เราไม่เคยรวมข้อมูลจากการควบคุมเหล่านี้กับข้อมูลเกี่ยวกับผู้ใช้ Apple หรืออุปกรณ์ของพวกเขา เราไม่ได้ใช้ข้อมูลจากการตรวจสอบเหล่านี้เพื่อค้นหาว่าผู้ใช้รายใดเริ่มต้นหรือทำงานบนอุปกรณ์ของตน การรับรองเอกสารจะตรวจสอบว่าแอปพลิเคชันมีมัลแวร์ที่รู้จักหรือไม่ โดยใช้การเชื่อมต่อที่เข้ารหัสซึ่งทนทานต่อความล้มเหลวของเซิร์ฟเวอร์
การตรวจสอบความปลอดภัยเหล่านี้ พวกเขาไม่เคยรวม Apple ID ของผู้ใช้หรือข้อมูลประจำตัวของอุปกรณ์ของพวกเขา เพื่อปกป้องความเป็นส่วนตัวต่อไปเราได้หยุดบันทึกที่อยู่ IP ที่เชื่อมโยงกับการตรวจสอบใบรับรอง ID ของนักพัฒนาและจะตรวจสอบให้แน่ใจว่าที่อยู่ IP ที่รวบรวมทั้งหมดจะถูกลบออกจากบันทึก
นอกเหนือจากที่กล่าวมาทั้งหมด บริษัท แคลิฟอร์เนีย มีแผนจะแนะนำการเปลี่ยนแปลงหลายอย่างในระบบในปีหน้า:
- Un โปรโตคอลที่เข้ารหัสใหม่ สำหรับการตรวจสอบการเพิกถอนใบรับรอง ID ผู้พัฒนา
- การปรับปรุงการป้องกัน ในกรณีที่เซิร์ฟเวอร์ล้มเหลว
- การตั้งค่าใหม่สำหรับผู้ใช้หรือpten ที่ไม่เข้าร่วมในการป้องกันความปลอดภัยเหล่านี้ ด้วยวิธีนี้หากผู้ใช้รายใดต้องการเปิดเผยตัวเองให้เสี่ยงต่อแอปที่ไม่ได้รับการตรวจสอบผู้ใช้สามารถปิดใช้งานระบบได้โดยอยู่ภายใต้ความรับผิดชอบของตน
ประเด็นก็คือ Apple ต้องการเคารพความเป็นส่วนตัวของผู้ใช้นั่นเป็นเหตุผลว่าทำไมจึงแก้ไขเอกสารการสนับสนุนและทำให้ทราบแผนการในอนาคตเพื่อปรับปรุงปัญหาเหล่านี้ เราจะติดตามวิวัฒนาการนี้อย่างรอบคอบ เพราะโดยส่วนตัวแล้วฉันเป็นหนึ่งในลักษณะที่ฉันยกย่องมากที่สุด