Noong nakaraang Huwebes ika-12, ipinakita ng Apple ang pangwakas na bersyon ng macOS Big Sur at halos isang linggo na ang lumipas nagsimula kaming suriin ang mga unang problema ng bagong bersyon. Hindi lamang sa antas ng pagiging tugma sa ilang mga Mac, partikular sa mga mas matatandang modelo na katugma sa bagong bersyon ng operating system, kung hindi mayroon ding mga paghihirap kapag binubuksan ang ilang mga application habang nakakonekta sa Internet. Tila ang problema ay naninirahan sa OCSP server ng Apple.
Upang maunawaan nang kaunti ang problema, kinakailangang malaman muna kung ano ang binubuo ng OCSP server at Gatekeeper ng Apple.
Ang lahat ng mga Mac ay mayroong isang security system na nagpapatunay na ang mga application na pinapatakbo namin ay ligtas. Ang pag-verify na ito ay batay sa isang maliit na sertipiko na kasama sa app at na nagtatakda na na-verify ng Apple ang mga ito kapag ipinadala ito ng developer sa kanila at napatunayan na ang lahat ay tama. Dapat i-verify ng system na wasto pa rin ito at hindi pa binawi para sa mga kadahilanang panseguridad. Kaya sa pagpapatupad ng bawat aplikasyon, tinatanong ng system ang mga server OCSP (Online Certificate Status Protocol) ayon sa katayuan ng sertipiko. Kung ang mga server ng Apple ay tumugon na wasto pa rin ito, magsisimula ang app nang walang karagdagang pagtatalo.
Ngayon, tandaan na ang koneksyon na ito sa mga server ay hindi naka-encrypt. Kung ginamit ang isang koneksyon sa HTTPS, papasok ito sa isang walang katapusang loop. Dapat suriin ang HTTPS gamit ang OCSP at dapat suriin ang HTTPS upang suriin ang OCSP at iba pa.
Sa macOS Malaking usr ang trapiko ng OCSP ay nananatiling hindi naka-encrypt
Kasunod ng paglulunsad ng macOS Big Sur noong Huwebes, ang mga gumagamit ng Mac ay nagsimulang maranasan ang mga problema sa pagbubukas ng mga application habang nakakonekta sa Internet. Ang pahina ng katayuan ng system ng Apple ay maiugnay ang sitwasyon sa mga problema sa notary service ng developer ID nito, at tinukoy ng developer na si Jeff Johnson na mayroong mga problema sa koneksyon sa OCSP server ng Apple. Dagdag pa ni Jeffrey Paul Bilang karagdagan, ang trapiko ng OCSP na nabuo ng macOS ay hindi naka-encrypt at maaari itong makita ng mga ISP (Internet Service Provider).
Tumugon ang Apple sa bagay na ito ina-update ang iyong dokumento ng suporta "Buksan nang ligtas ang mga application sa iyong Mac" na may bagong impormasyon:
Ang macOS ay idinisenyo upang mapanatiling ligtas ang mga gumagamit at kanilang data habang nirerespeto ang kanilang privacy. Gumagawa ang Gatekeeper ng mga online na tseke upang makita kung naglalaman ang isang application ng kilalang malware at kung ang sertipiko sa pag-sign ng developer ay nabawi. Hindi pa namin pinagsasama ang data mula sa mga kontrol na ito sa impormasyon tungkol sa mga gumagamit ng Apple o kanilang mga aparato. Hindi namin ginagamit ang data mula sa mga pagsusuri na ito upang malaman kung aling mga indibidwal na gumagamit ang nagsisimula o tumatakbo sa kanilang mga aparato. Napatunayan ng notarization kung naglalaman ang application ng kilalang malware gamit ang isang naka-encrypt na koneksyon na lumalaban sa pagkabigo ng server.
Ang mga pagsusuri sa seguridad Hindi nila naisama ang Apple ID ng gumagamit o ang pagkakakilanlan ng kanilang aparato. Upang higit na maprotektahan ang privacy, tumigil kami sa pag-log ng mga IP address na nauugnay sa mga tseke ng sertipiko ng developer ID at titiyakin na ang lahat ng nakolektang mga IP address ay tinanggal mula sa mga tala.
Bukod sa lahat ng nabanggit, ang kumpanya ng California plano upang ipakilala ang maraming mga pagbabago sa system sa susunod na taon:
- Un bagong naka-encrypt na protocol para sa mga pagsusuri sa pagbawi ng sertipiko ng developer ID
- Mga pagpapabuti sa proteksyon sa kaso ng pagkabigo ng server.
- Isang bagong kagustuhan para sa mga gumagamit opten para sa hindi pakikilahok sa mga proteksyon sa seguridad. Sa ganitong paraan, kung ang sinumang gumagamit ay mas gusto na ilantad ang kanilang mga sarili sa peligro ng mga hindi na-verify na app, maaari nilang i-deactivate, sa ilalim ng kanilang responsibilidad, ang system nang ganap.
Ang punto ay nais ng Apple na respetuhin ang privacy ng gumagamit, kaya binago nito ang dokumento ng suporta nito at kinikilala ang mga plano sa hinaharap upang mapabuti ang mga isyung ito. Maingat naming susundan ang ebolusyon na ito, kasi ako mismo ang isa sa mga katangiang pinakapuri ko