由于蘋果的在線證書狀態協議（OCSP）服務器宕機，導致在 Mac 設備上無法打開第三方應用，更令人擔憂的是這可能會泄漏用戶隱私信息。現在蘋果對“在 Mac 上安全地打開應用”支持文檔進行了更新，并進一步提供了隱私保護方面的相關措施。

公司表示“門禁（Gatekeeper）執行在線審查，以驗證應用程序是否包含已知的惡意軟件，以及開發人員的簽名證書是否被撤銷。我們從未將這些檢查的數據和蘋果用戶或者他們的設備捆綁。我們不會使用這些檢查的數據來了解個人用戶在其設備上啟動或運行的內容”。

蘋果進一步強調：“公證檢查應用程序是否包含已知的惡意軟件，使用的是對服務器故障有彈性的加密連接。這些安全檢查從未包含用戶的Apple ID或其設備的身份。為了進一步保護隱私，我們已經停止記錄與開發者ID證書檢查相關的IP地址，我們將確保從日志中刪除任何收集到的IP地址”。

此外蘋果還承諾在接下來的一年時間里，將會對安全檢查進行一些調整，具體來說包括

● 一個針對開發者 ID 的全新加密協議，用于驗證該 ID 是否被撤銷

● 強大的保護措施，防止服務器故障

● 用戶可以選擇不接受這些安全保護的新偏好

蘋果還向外媒 iPhoneincanada 提供了一些更詳細的技術信息。證書撤銷檢查的發生是為了驗證用于簽署應用的開發者ID證書是否被公司撤銷。此舉對安全至關重要，因為如果開發者懷疑證書被第三方泄露，或者被用于簽署惡意應用，證書可能會被撤消。

在 macOS 系統中，使用行業標準的在線證書狀態協議（OCSP）來驗證給開發者 ID 代碼簽署的證書是否已經被撤銷。這個 OCSP 請求并不包含任意用戶的 Apple ID，在設備或者應用啟動中也不會泄漏。

蘋果表示，由于 OCSP 用于檢查其他證書，包括用于加密網絡連接的證書，因此這些請求是通過未加密的 HTTP 發生的，這在整個行業中是正常的。

據蘋果公司稱，HTTP 用于防止驗證確保連接到 OCSP 服務器的證書的有效性有可能取決于向同一 OCSP 服務器發出的請求的結果，從而形成一個循環，導致無法解決請求的情況。

蘋果表示，在 macOS Catalina 及以后的版本上，默認情況下，所有運行的應用都會被公司進行公證，以說明它們已經被蘋果公司檢查過，是否有已知的惡意軟件。

當一個應用啟動時，macOS 會檢查驗證該應用自首次公證以來，是否沒有被蘋果標注為惡意軟件。這些檢查是通過加密連接發生的--而且對服務器故障有一定的彈性。這也是為何前幾天開發者會看到他們的應用程序卡死，需要很長時間才能啟動。

是什么原因導致OCSP服務器出現問題？蘋果表示，這是由于服務器端的錯誤配置，特別是干擾了macOS能夠為開發者ID緩存OCSP響應。這個配置錯誤，以及一個不相關的內容傳輸網絡（CDN）的錯誤配置，是導致應用程序啟動性能緩慢的原因。

蘋果表示它已經通過服務器端更新修復了這一性能問題，現在將允許macOS在更長的時間內緩存開發者ID OCSP檢查，macOS用戶不需要做任何事情就能從蘋果的這一更新中受益。
責編AJX