De software-update van Apple krijgt een nieuw beveiligingscertificaat dat de OS X-server kan laten struikelen

Apple gebruikt op verschillende manieren digitale certificaten en code-ondertekening om Macs veilig te houden. Een veelvoorkomend voorbeeld is dat apps die via de Mac App Store worden verkocht, digitaal zijn ondertekend, wat het mogelijk maakt een individuele Mac om te weten dat hij het echte artikel krijgt wanneer een gebruiker de App Store start app. Het stelt een Mac ook in staat om ervoor te zorgen dat er niet is geknoeid met een toepassing door een kwaadwillende gebruiker of een stukje malware elke keer dat die app wordt gestart (Berg Leeuwen poortwachter functie gebaseerd zal zijn op dezelfde technologie).

Hetzelfde proces wordt gebruikt met Apple's Software Update-servers. Elke update van Apple is digitaal ondertekend met een certificaat waarmee elke Mac weet dat ze echte updates van Apple krijgen.

Digitale certificaten zijn ontworpen om periodiek te verlopen en morgen, 23 maart 2012, verloopt het certificaat dat is gekoppeld aan de Software Update-functionaliteit van Apple. Apple heeft al een nieuw certificaat klaar dat pas over zeven jaar (2019) verloopt. De overgang naar het certificaat zal voor bijna alle Mac-gebruikers transparant zijn, maar het kan problemen veroorzaken met sommige OS X Server-installaties.

Die potentiële problemen hebben betrekking op de Software Update Service (SUS) van OS X Server. Deze service is een oude OS X Server-functie waarmee een server een lokale kopie van de updates op de servers van Apple kan maken. Het gebruik van de functie biedt een aantal behoorlijk krachtige voordelen voor bedrijven en scholen met grote Mac-populaties.

• Het stelt IT-personeel in staat om eventuele updates met hun systemen te testen voordat ze beschikbaar worden gesteld en om de installatie ervan te voorkomen als ze problemen vinden
• Macs in de organisatie kunnen veel sneller updates downloaden en installeren vanaf een server op het lokale netwerk in plaats van over internet te gaan om toegang te krijgen tot de servers van Apple
• Er is minder netwerkcongestie rond de internetverbinding van de organisatie omdat tientallen of honderden Macs niet allemaal proberen de servers van Apple te doorzoeken en vervolgens updates van hen te downloaden

Servers met SUS kunnen een achterstand bijhouden van eerder gedownloade updates van de servers van Apple. Als die updates zijn ondertekend met het verlopende certificaat, dat vanaf morgen niet meer geldig is, Macs dat het downloaden van updates van zo'n server zal weigeren ze te installeren omdat hun digitale handtekening niet langer is Geldig.

Apple's voorgesteld werkwijze voor elke organisatie die Lion Server of Snow Leopard Server en SUS gebruikt, is het verwijderen van eerder gedownloade updates en opnieuw downloaden ervan. De nieuwe exemplaren worden ondertekend met het nieuwe certificaat dat geldig is tot 2019 maar verder identiek zal zijn aan de oudere. Huidige updates zoals de Lion 10.7.3-updates worden automatisch gedownload, maar oudere updates zoals Lion 10.7.2 niet, hoewel ze handmatig kunnen worden gedownload van de Apple-ondersteuningssite.