由于蘋果的在線證書狀態(tài)協(xié)議（OCSP）服務器宕機，導致在 Mac 設備上無法打開第三方應用，更令人擔憂的是這可能會泄漏用戶隱私信息?，F(xiàn)在蘋果對“在 Mac 上安全地打開應用”支持文檔進行了更新，并進一步提供了隱私保護方面的相關措施。

公司表示“門禁（Gatekeeper）執(zhí)行在線審查，以驗證應用程序是否包含已知的惡意軟件，以及開發(fā)人員的簽名證書是否被撤銷。我們從未將這些檢查的數(shù)據(jù)和蘋果用戶或者他們的設備捆綁。我們不會使用這些檢查的數(shù)據(jù)來了解個人用戶在其設備上啟動或運行的內容”。

蘋果進一步強調：“公證檢查應用程序是否包含已知的惡意軟件，使用的是對服務器故障有彈性的加密連接。這些安全檢查從未包含用戶的Apple ID或其設備的身份。為了進一步保護隱私，我們已經停止記錄與開發(fā)者ID證書檢查相關的IP地址，我們將確保從日志中刪除任何收集到的IP地址”。

此外蘋果還承諾在接下來的一年時間里，將會對安全檢查進行一些調整，具體來說包括

● 一個針對開發(fā)者 ID 的全新加密協(xié)議，用于驗證該 ID 是否被撤銷

● 強大的保護措施，防止服務器故障

● 用戶可以選擇不接受這些安全保護的新偏好

蘋果還向外媒 iPhoneincanada 提供了一些更詳細的技術信息。證書撤銷檢查的發(fā)生是為了驗證用于簽署應用的開發(fā)者ID證書是否被公司撤銷。此舉對安全至關重要，因為如果開發(fā)者懷疑證書被第三方泄露，或者被用于簽署惡意應用，證書可能會被撤消。

在 macOS 系統(tǒng)中，使用行業(yè)標準的在線證書狀態(tài)協(xié)議（OCSP）來驗證給開發(fā)者 ID 代碼簽署的證書是否已經被撤銷。這個 OCSP 請求并不包含任意用戶的 Apple ID，在設備或者應用啟動中也不會泄漏。

蘋果表示，由于 OCSP 用于檢查其他證書，包括用于加密網絡連接的證書，因此這些請求是通過未加密的 HTTP 發(fā)生的，這在整個行業(yè)中是正常的。

據(jù)蘋果公司稱，HTTP 用于防止驗證確保連接到 OCSP 服務器的證書的有效性有可能取決于向同一 OCSP 服務器發(fā)出的請求的結果，從而形成一個循環(huán)，導致無法解決請求的情況。

蘋果表示，在 macOS Catalina 及以后的版本上，默認情況下，所有運行的應用都會被公司進行公證，以說明它們已經被蘋果公司檢查過，是否有已知的惡意軟件。

當一個應用啟動時，macOS 會檢查驗證該應用自首次公證以來，是否沒有被蘋果標注為惡意軟件。這些檢查是通過加密連接發(fā)生的--而且對服務器故障有一定的彈性。這也是為何前幾天開發(fā)者會看到他們的應用程序卡死，需要很長時間才能啟動。

是什么原因導致OCSP服務器出現(xiàn)問題？蘋果表示，這是由于服務器端的錯誤配置，特別是干擾了macOS能夠為開發(fā)者ID緩存OCSP響應。這個配置錯誤，以及一個不相關的內容傳輸網絡（CDN）的錯誤配置，是導致應用程序啟動性能緩慢的原因。

蘋果表示它已經通過服務器端更新修復了這一性能問題，現(xiàn)在將允許macOS在更長的時間內緩存開發(fā)者ID OCSP檢查，macOS用戶不需要做任何事情就能從蘋果的這一更新中受益。
責編AJX