由于蘋(píng)果的在線證書(shū)狀態(tài)協(xié)議（OCSP）服務(wù)器宕機(jī)，導(dǎo)致在 Mac 設(shè)備上無(wú)法打開(kāi)第三方應(yīng)用，更令人擔(dān)憂的是這可能會(huì)泄漏用戶隱私信息?，F(xiàn)在蘋(píng)果對(duì)“在 Mac 上安全地打開(kāi)應(yīng)用”支持文檔進(jìn)行了更新，并進(jìn)一步提供了隱私保護(hù)方面的相關(guān)措施。

公司表示“門(mén)禁（Gatekeeper）執(zhí)行在線審查，以驗(yàn)證應(yīng)用程序是否包含已知的惡意軟件，以及開(kāi)發(fā)人員的簽名證書(shū)是否被撤銷。我們從未將這些檢查的數(shù)據(jù)和蘋(píng)果用戶或者他們的設(shè)備捆綁。我們不會(huì)使用這些檢查的數(shù)據(jù)來(lái)了解個(gè)人用戶在其設(shè)備上啟動(dòng)或運(yùn)行的內(nèi)容”。

蘋(píng)果進(jìn)一步強(qiáng)調(diào)：“公證檢查應(yīng)用程序是否包含已知的惡意軟件，使用的是對(duì)服務(wù)器故障有彈性的加密連接。這些安全檢查從未包含用戶的Apple ID或其設(shè)備的身份。為了進(jìn)一步保護(hù)隱私，我們已經(jīng)停止記錄與開(kāi)發(fā)者ID證書(shū)檢查相關(guān)的IP地址，我們將確保從日志中刪除任何收集到的IP地址”。

此外蘋(píng)果還承諾在接下來(lái)的一年時(shí)間里，將會(huì)對(duì)安全檢查進(jìn)行一些調(diào)整，具體來(lái)說(shuō)包括

● 一個(gè)針對(duì)開(kāi)發(fā)者 ID 的全新加密協(xié)議，用于驗(yàn)證該 ID 是否被撤銷

● 強(qiáng)大的保護(hù)措施，防止服務(wù)器故障

● 用戶可以選擇不接受這些安全保護(hù)的新偏好

蘋(píng)果還向外媒 iPhoneincanada 提供了一些更詳細(xì)的技術(shù)信息。證書(shū)撤銷檢查的發(fā)生是為了驗(yàn)證用于簽署應(yīng)用的開(kāi)發(fā)者ID證書(shū)是否被公司撤銷。此舉對(duì)安全至關(guān)重要，因?yàn)槿绻_(kāi)發(fā)者懷疑證書(shū)被第三方泄露，或者被用于簽署惡意應(yīng)用，證書(shū)可能會(huì)被撤消。

在 macOS 系統(tǒng)中，使用行業(yè)標(biāo)準(zhǔn)的在線證書(shū)狀態(tài)協(xié)議（OCSP）來(lái)驗(yàn)證給開(kāi)發(fā)者 ID 代碼簽署的證書(shū)是否已經(jīng)被撤銷。這個(gè) OCSP 請(qǐng)求并不包含任意用戶的 Apple ID，在設(shè)備或者應(yīng)用啟動(dòng)中也不會(huì)泄漏。

蘋(píng)果表示，由于 OCSP 用于檢查其他證書(shū)，包括用于加密網(wǎng)絡(luò)連接的證書(shū)，因此這些請(qǐng)求是通過(guò)未加密的 HTTP 發(fā)生的，這在整個(gè)行業(yè)中是正常的。

據(jù)蘋(píng)果公司稱，HTTP 用于防止驗(yàn)證確保連接到 OCSP 服務(wù)器的證書(shū)的有效性有可能取決于向同一 OCSP 服務(wù)器發(fā)出的請(qǐng)求的結(jié)果，從而形成一個(gè)循環(huán)，導(dǎo)致無(wú)法解決請(qǐng)求的情況。

蘋(píng)果表示，在 macOS Catalina 及以后的版本上，默認(rèn)情況下，所有運(yùn)行的應(yīng)用都會(huì)被公司進(jìn)行公證，以說(shuō)明它們已經(jīng)被蘋(píng)果公司檢查過(guò)，是否有已知的惡意軟件。

當(dāng)一個(gè)應(yīng)用啟動(dòng)時(shí)，macOS 會(huì)檢查驗(yàn)證該應(yīng)用自首次公證以來(lái)，是否沒(méi)有被蘋(píng)果標(biāo)注為惡意軟件。這些檢查是通過(guò)加密連接發(fā)生的--而且對(duì)服務(wù)器故障有一定的彈性。這也是為何前幾天開(kāi)發(fā)者會(huì)看到他們的應(yīng)用程序卡死，需要很長(zhǎng)時(shí)間才能啟動(dòng)。

是什么原因?qū)е翺CSP服務(wù)器出現(xiàn)問(wèn)題？蘋(píng)果表示，這是由于服務(wù)器端的錯(cuò)誤配置，特別是干擾了macOS能夠?yàn)殚_(kāi)發(fā)者ID緩存OCSP響應(yīng)。這個(gè)配置錯(cuò)誤，以及一個(gè)不相關(guān)的內(nèi)容傳輸網(wǎng)絡(luò)（CDN）的錯(cuò)誤配置，是導(dǎo)致應(yīng)用程序啟動(dòng)性能緩慢的原因。

蘋(píng)果表示它已經(jīng)通過(guò)服務(wù)器端更新修復(fù)了這一性能問(wèn)題，現(xiàn)在將允許macOS在更長(zhǎng)的時(shí)間內(nèi)緩存開(kāi)發(fā)者ID OCSP檢查，macOS用戶不需要做任何事情就能從蘋(píng)果的這一更新中受益。
責(zé)編AJX