蘋果跟蹤你執行的每一個mac應用程式嗎？ocsp解釋道

每次你啟動一個應用程式時，你的Mac真的會把你的手機打給蘋果嗎？這是在2020年10月12日之後流傳開來的指控，當時蘋果的伺服器速度變慢，而現代的Mac電腦需要很長時間才能開啟應用程式。我們會解釋發生了什麼。...

每次你啟動一個應用程式時，你的Mac真的會把你的**打給蘋果嗎？這是在2020年10月12日之後流傳開來的指控，當時蘋果的伺服器速度變慢，而現代的Mac電腦需要很長時間才能開啟應用程式。我們會解釋發生了什麼。

Info: This applies to both macOS Big Sur and macOS Catalina. The slowdown and associated privacy concerns are not new in macOS Big Sur.

為什麼mac應用程式使用開發者證書籤名

在Mac上，無論是從Mac應用程式商店還是從web下載的應用程式都會使用開發人員證書進行簽名。每當你啟動一個應用程式時，它都會檢查這個應用程式，以驗證它是否由合法的開發人員簽名，並且沒有被篡改。這有助於保護您免受惡意軟體的攻擊。

例如，當Mozilla建立Firefox時，它編譯一個Firefox應用程式檔案，然後用Mozilla的開發者證書對其進行簽名。這是Mozilla證明檔案是合法的並且是由Mozilla建立的。如果應用程式檔案被篡改後，你的Mac會注意到不同。

這些證書的有效期只有一段時間，也許幾年，但可以提前“吊銷”。例如，如果蘋果發現某個開發者正在使用其證書對惡意應用程式進行簽名，那麼蘋果就會撤銷該證書。Mac不會載入具有已吊銷證書的應用程式。

ocsp解釋說：為什麼你的mac**在家？

但是等一下，你的Mac怎麼知道蘋果是否吊銷了你Mac上應用程式的相關證書呢？為了進行檢查，您的Mac使用了一種稱為線上證書狀態協議（Online Certificate Status Protocol，OCSP）的方法；web瀏覽器也使用它在您瀏覽時檢查網站證書。

當你啟動一個應用程式時，你的Mac會把它的證書資訊傳送到蘋果的伺服器上蘋果公司. 您的Mac會詢問此Apple伺服器證書是否已被吊銷。如果沒有，你的Mac會啟動這個應用程式。如果證書已被吊銷，你的Mac將不會啟動該應用程式。

每次啟動應用程式時都會發生這種情況嗎？

你的Mac會記住這些反應一段時間。2020年11月12日，響應被快取了5分鐘；換句話說，如果你啟動了一個應用程式，關閉它，4分鐘後再次啟動它，你的Mac就不必再向蘋果詢問證書的問題了。然而，如果你啟動了一個應用程式，關閉它，並在6分鐘後啟動它，你的Mac將不得不再次詢問蘋果的伺服器。

不管出於什麼原因，也許是由於macOS的變化，Big-Sur蘋果的伺服器在2020年11月12日被淹沒，變得非常緩慢。響應速度大大減慢，應用程式需要很長時間才能載入，因為Macs耐心地等待蘋果緩慢的伺服器的響應。

在那次事件之後，蘋果的OSCP伺服器現在告訴Macs在12小時內記住證書有效性響應。每次你啟動一個應用程式時，你的Mac電腦都會打電話回家詢問證書的問題，除非你在過去12小時內收到了回覆，在這種情況下就不需要了。（這裡有關時間段的資訊來自獨立應用程式開發人員傑夫·約翰遜）

如果mac離線怎麼辦？

OCSP檢查被設計為優雅地失敗。如果你處於離線狀態，你的Mac會自動跳過檢查並正常啟動應用程式。

如果你的Mac電腦不能達到蘋果公司伺服器可能是因為伺服器地址已在路由器級別的網路上被阻止。如果你的Mac無法聯絡伺服器，它會跳過檢查並立即啟動應用程式。

2020年11月12日的問題是，雖然Macs可以到達蘋果的伺服器，但伺服器本身速度很慢。但Macs並沒有默默地失敗，繼續推出一款應用程式，而是等待了很長一段時間，等待迴應。如果伺服器完全關閉了，沒有人會注意到。

隱私風險是什麼？蘋果學到了什麼？

人們在這裡提出了一些隱私問題。駭客和安全研究人員傑弗裡·保羅（Jeffrey Paul）對這一情況的尖銳看法清楚地說明了這一點。

證書與應用程式相關聯：當你的Mac與OCSP伺服器聯絡時，它會詢問一個可能與一個或幾個應用程式相關的證書。從技術上講，你的Mac電腦不會告訴蘋果你推出了哪個應用。例如，如果你啟動Firefox，蘋果就知道你已經啟動了Mozilla建立的應用程式。可能是Firefox或Thunderbird，但蘋果不知道是哪個。然而，如果你啟動了一個由Tor專案簽名的應用程式，蘋果可以很好地知道你已經打開了Tor瀏覽器。
請求與IP地址和時間相關聯：當然，這些請求可以與日期和時間以及您的IP地址相關聯。網際網路就是這樣運作的。您的IP地址與某個城市和州相關聯。每一個OCSP請求都會告訴蘋果建立你要啟動的應用程式的開發人員、你的一般位置以及你啟動應用程式的日期和時間。
缺少加密意味著窺探是可能的：OCSP協議是未加密的。蘋果不僅能得到這些資訊，中間的任何人都能看到這些資訊。你的網際網路服務提供商、工作場所網路管理員，甚至是監控網際網路流量的間諜機構，都可能竊聽你和蘋果之間的OSCP流量，並瞭解所有這些細節。這些請求還透過名為Akamai的第三方內容分發網路（CDN）。這加快了他們的速度，但又增加了一個技術上可以窺探的中間人。

Info: Your Mac isn’t telling Apple which app you’re launching. Instead, your Mac is just telling Apple which developer created the app you’re launching. Of course, many developers just create one app. This technical distinction often doesn’t mean much.

（請記住：隨著快取行為的改變，你的Mac不再是每次你啟動應用時都會問蘋果。每12小時一次，而不是每5分鐘一次。）

為什麼你的mac要這麼做？

正如你所料，這一切都是為了安全。Mac是一個比iPad和iPhone更開放的平臺。你可以從任何地方下載應用程式，甚至在蘋果Mac應用商店之外。

為了保護Mac免受惡意軟體的侵害，是的，Mac惡意軟體已經變得越來越普遍，蘋果公司實施了這種安全檢查。如果用於簽署應用程式的證書被吊銷，你的Mac可以立即啟動並拒絕開啟該應用程式。這使蘋果有能力阻止mac推出已知的惡意應用。

你能阻止ocsp檢查嗎？

這些OCSP檢查被設計成在Mac離線或無法與伺服器聯絡時快速而無聲地失敗蘋果公司伺服器。

這使得阻止它們變得簡單：只需阻止你的Mac連線到蘋果公司. 例如，您經常可以在路由器上阻止該地址，從而阻止網路上的所有裝置連線到該地址。

不幸的是，bigsur似乎不再允許Mac上的軟體級防火牆阻止Mac內建的trustd程序訪問這樣的遠端伺服器。

Warning: If you block the ocsp.apple.com server, your Mac won’t notice when Apple has revoked an app’s developer certificate. You’re choosing to disable a security feature and this could put your Mac at risk.

蘋果說了些什麼並承諾要改變？

蘋果似乎已經聽到了這些批評。2020年11月16日，該公司在其網站上添加了關於“保護網守隱私”的資訊。

首先，蘋果公司表示，它從未將這些證書或惡意軟體檢查的資料與蘋果公司知道的關於你的任何其他資料相結合。該公司承諾不會使用這些資訊來追蹤個人在mac上釋出的應用程式。

第二，蘋果堅稱這些證書檢查與你的蘋果ID或你IP地址以外的任何裝置特定資訊無關。蘋果表示，它已經停止記錄與這些請求相關的IP地址，並將從蘋果的日誌中刪除這些地址。

換言之，在接下來的一年裡，到2021年底，蘋果表示將做出以下改變：

用加密協議取代OCSP：蘋果公司表示，它將建立一個新的加密協議來取代未加密的OCSP系統，用於檢查開發者證書。這將防止中間的任何人窺探。
停止減速：蘋果還承諾“對伺服器故障提供強有力的保護”——換句話說，應用程式不會因為伺服器再次減速而載入變慢。
為使用者提供選擇：蘋果表示，Mac使用者將能夠關閉這些安全保護，防止他們的Mac電腦檢查被吊銷的開發者證書。

總的說來，這些變化將消除各種問題，第三方無法在中間窺探。Macs仍會向蘋果傳送資訊，用於跟蹤你開啟的應用程式，但蘋果承諾不會將這些資訊與你聯絡起來。在蘋果解決效能問題的同時，也應該消除速度放緩的問題。

這個更好的協議是什麼？好吧，蘋果還沒有說它將用什麼來取代OCSP。正如安全研究員斯科特·赫爾姆指出的那樣，像CRLite這樣的東西可以幫助在這裡穿針。想象一下，如果你的Mac電腦能從蘋果下載一個檔案並定期更新。該檔案將包含所有證書吊銷的壓縮列表。每當你啟動一個應用程式，你的Mac可以檢查檔案，消除網路檢查和隱私問題。