在苹果的在线证书状态协议(OCSP)服务器宕机,从而导致第三方应用程序无法在Mac电脑上打开后,Mac用户对隐私问题感到担忧,苹果现在对此做出了回应,杰弗里·保罗(Jeffrey Paul)最近的一篇博客文章更是加剧了这种情况。
苹果公司的一位发言人告诉加拿大的iPhone,公司已经更新了支持文档,“在你的Mac上安全地打开应用程序”,现在进一步详细说明了它的隐私保护。
苹果公司解释说:“GateKeeper会在线检查应用程序是否包含已知的恶意软件,以及开发者的签名证书是否被吊销。”“我们从未将这些检查的数据与苹果用户或其设备的信息结合在一起。我们不会使用这些检查的数据来了解个人用户在他们的设备上启动或运行什么,“该公司澄清说。
苹果公司说:“公证通过加密连接来检查应用程序是否包含已知的恶意软件,这种连接对服务器故障具有弹性。”他进一步强调,“这些安全检查从来没有包括用户的苹果ID或他们设备的身份。”为了进一步保护隐私,我们已经停止记录与开发者ID证书检查相关的IP地址,我们将确保从日志中删除所有收集到的IP地址。
最重要的是,苹果公司表示,“在未来一年,我们将对我们的安全检查进行几项改革”,具体地说:
苹果还向加拿大的iPhone提供了一些有关情况的进一步技术信息。进行证书吊销检查,以验证用于签署应用程序的开发者ID证书未被公司吊销。这一举措对安全至关重要,因为如果开发者怀疑证书已被第三方泄露,或被用来签署恶意应用程序,证书可能会被撤回。
MacOS使用行业标准的在线证书状态协议(OCSP)来验证颁发给应用开发者的开发者ID代码签名证书是否未被吊销。此OCSP请求不包括用户的Apple ID,也不会透露正在启动的设备或应用程序。
苹果公司表示,由于OCSP被用来检查其他证书,包括那些用于加密网络连接的证书,这些请求通过未加密的HTTP进行,这在整个行业都是正常的。
据苹果公司称,HTTP用于防止以下情况:验证保护与OCSP服务器连接的证书的有效性可能取决于向同一OCSP服务器发出的请求的结果,从而造成无法解析请求的循环。
苹果公司在MacOS Catalina上表示,默认情况下,所有运行的应用程序都经过了公司的公证,以说明它们已经被苹果公司检查过是否有已知的恶意软件。当一款应用程序启动时,MacOS会进行检查,以确认该应用程序自首次公证以来没有被苹果贴上恶意标签。这些检查通过加密连接进行,并且对服务器故障具有弹性。这就是前几天发生的事情,用户看到他们的应用程序挂起了,永远都要花时间才能启动。
是什么导致了OCSP服务器问题?苹果公司表示,这是由于服务器端的错误配置导致MacOS无法缓存开发者ID的OCSP响应。这个配置错误,加上一个无关的内容分发网络(CDN)配置错误,是导致应用程序启动速度缓慢的原因。
苹果向加拿大的iPhone解释说,它已经通过服务器端更新解决了这个性能问题,现在MacOS将允许MacOS缓存开发者ID OCSP检查更长一段时间。MacOS用户不需要做任何事情就可以从苹果的这次更新中受益。
应用程序公证检查用于验证在MacOS中启动的应用程序自首次公证以来没有被苹果发现是恶意的。苹果公司表示,这些检查是通过加密连接进行的,不会受到服务器故障的影响。公证检查不受导致OCSP请求失败的服务器端问题的影响。