由于蘋果的在線證書狀態(tài)協(xié)議（OCSP）服務(wù)器宕機(jī)，導(dǎo)致在 Mac 設(shè)備上無法打開第三方應(yīng)用，更令人擔(dān)憂的是這可能會泄漏用戶隱私信息。現(xiàn)在蘋果對“在 Mac 上安全地打開應(yīng)用”支持文檔進(jìn)行了更新，并進(jìn)一步提供了隱私保護(hù)方面的相關(guān)措施。

公司表示“門禁（Gatekeeper）執(zhí)行在線審查，以驗(yàn)證應(yīng)用程序是否包含已知的惡意軟件，以及開發(fā)人員的簽名證書是否被撤銷。我們從未將這些檢查的數(shù)據(jù)和蘋果用戶或者他們的設(shè)備捆綁。我們不會使用這些檢查的數(shù)據(jù)來了解個人用戶在其設(shè)備上啟動或運(yùn)行的內(nèi)容”。

蘋果進(jìn)一步強(qiáng)調(diào)：“公證檢查應(yīng)用程序是否包含已知的惡意軟件，使用的是對服務(wù)器故障有彈性的加密連接。這些安全檢查從未包含用戶的Apple ID或其設(shè)備的身份。為了進(jìn)一步保護(hù)隱私，我們已經(jīng)停止記錄與開發(fā)者ID證書檢查相關(guān)的IP地址，我們將確保從日志中刪除任何收集到的IP地址”。

此外蘋果還承諾在接下來的一年時間里，將會對安全檢查進(jìn)行一些調(diào)整，具體來說包括

● 一個針對開發(fā)者 ID 的全新加密協(xié)議，用于驗(yàn)證該 ID 是否被撤銷

● 強(qiáng)大的保護(hù)措施，防止服務(wù)器故障

● 用戶可以選擇不接受這些安全保護(hù)的新偏好

蘋果還向外媒 iPhoneincanada 提供了一些更詳細(xì)的技術(shù)信息。證書撤銷檢查的發(fā)生是為了驗(yàn)證用于簽署應(yīng)用的開發(fā)者ID證書是否被公司撤銷。此舉對安全至關(guān)重要，因?yàn)槿绻_發(fā)者懷疑證書被第三方泄露，或者被用于簽署惡意應(yīng)用，證書可能會被撤消。

在 macOS 系統(tǒng)中，使用行業(yè)標(biāo)準(zhǔn)的在線證書狀態(tài)協(xié)議（OCSP）來驗(yàn)證給開發(fā)者 ID 代碼簽署的證書是否已經(jīng)被撤銷。這個 OCSP 請求并不包含任意用戶的 Apple ID，在設(shè)備或者應(yīng)用啟動中也不會泄漏。

蘋果表示，由于 OCSP 用于檢查其他證書，包括用于加密網(wǎng)絡(luò)連接的證書，因此這些請求是通過未加密的 HTTP 發(fā)生的，這在整個行業(yè)中是正常的。

據(jù)蘋果公司稱，HTTP 用于防止驗(yàn)證確保連接到 OCSP 服務(wù)器的證書的有效性有可能取決于向同一 OCSP 服務(wù)器發(fā)出的請求的結(jié)果，從而形成一個循環(huán)，導(dǎo)致無法解決請求的情況。

蘋果表示，在 macOS Catalina 及以后的版本上，默認(rèn)情況下，所有運(yùn)行的應(yīng)用都會被公司進(jìn)行公證，以說明它們已經(jīng)被蘋果公司檢查過，是否有已知的惡意軟件。

當(dāng)一個應(yīng)用啟動時，macOS 會檢查驗(yàn)證該應(yīng)用自首次公證以來，是否沒有被蘋果標(biāo)注為惡意軟件。這些檢查是通過加密連接發(fā)生的--而且對服務(wù)器故障有一定的彈性。這也是為何前幾天開發(fā)者會看到他們的應(yīng)用程序卡死，需要很長時間才能啟動。

是什么原因?qū)е翺CSP服務(wù)器出現(xiàn)問題？蘋果表示，這是由于服務(wù)器端的錯誤配置，特別是干擾了macOS能夠?yàn)殚_發(fā)者ID緩存OCSP響應(yīng)。這個配置錯誤，以及一個不相關(guān)的內(nèi)容傳輸網(wǎng)絡(luò)（CDN）的錯誤配置，是導(dǎo)致應(yīng)用程序啟動性能緩慢的原因。

蘋果表示它已經(jīng)通過服務(wù)器端更新修復(fù)了這一性能問題，現(xiàn)在將允許macOS在更長的時間內(nèi)緩存開發(fā)者ID OCSP檢查，macOS用戶不需要做任何事情就能從蘋果的這一更新中受益。
責(zé)編AJX