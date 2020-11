El cataclismo del lanzamiento de Big Sur, con instalaciones colgadas, lentitud del sistema y aplicaciones que no se abrían dieron rápidamente paso a investigar qué estaba pasando y esta investigación trajo unas conclusiones algo precipitadas que no se ajustan a la realidad, lo que ha dado un fin de semana lleno de artículos técnicos en un sentido y otro.

Vamos a intentar explicar lo que ha pasado

Con el lanzamiento de macOS Big Sur el jueves, los usuarios de Mac comenzaron a tener problemas al intentar abrir aplicaciones mientras estaban conectados a internet. La pagan de estatus del sistema en Apple atribuía la situación a los problemas con el sistema de notarización de la ID de desarrollador, y el desarrollador Jeff Johnson determinó que se trataba de problemas con el servidor OCSP de Apple.

Recuerda que, desde Mojave, Apple exige que para que se pueda instalar una aplicación, ésta tiene que estar firmada y registrada en Apple, de manera que se pueda verificar su autenticidad. La parte de macOS que se encarga de esto se llama Gatekeeper, y puedes encontrarlo en las Preferencias del Sistema.

Gatekeeper realiza comprobaciones online para verificar si una app contiene malware conocido y si el certificado del desarrollador es válido.

Las siglas “OCSP” se refieren a Online Certificate Status Protocol stapling, o más brevemente “grapado de certificados”. Apple utiliza este “grapado” de certificados para ayudar a agilizar el proceso de tener millones de dispositivos Apple comprobando la validez de de millones y millones de certificados cada día.

Como el nombre implica, se utiliza para verificar la validez de un certificado sin necesidad de descargar y escanear largas listas de revocación de certificados. macOS utiliza OCSP para asegurarse de que el certificado del desarrollador no ha sido cancelado antes de que se abra la aplicación. (por ejemplo, es lo que se hace si alguien intenta abrir Fortnite).

El servicio de notarization de Apple es un sistema automatizado que escanea el software para asegurarse de que no tiene contenido malicioso, comprueba la firma del código y devolve el resultado rápidamente. Si no hay problemas, el servicio de notarización genera un ticket para que se adjunte al software, y además lo publica online para que Gatekeeper pueda encontrarlo.

Si un dispositivo de Apple no puede conectar a la red pero quieres abrir una aplicación, la validación del certificado se supone que va a “tener un fallo suave” (es decir, se cancela sin notificar al usuario) de manera que, al detectar que no puede conectarse a internet permite abrir la aplicación de todas formas.

Ese proceso de conexión a los servidores de Apple para la notarization aparece en la Consola como trustd —el nombre del proceso en macOS responsable de comprobar con los servidores de Apple si una app está “notarizada”, y su misión es conectarse a un dominio llamado ocsp.apple.com .

El problema viene porque porque el servidor nunca se “cayó”. Seguía recibiendo las peticiones, pero era tan extremadamente lento en procesarlas que al final hacían “timeout”, es decir, se cancelaban pasado un tiempo, por falta de respuesta.

Al no colgarse el servidor, sino que seguía recibiendo peticiones (el sistema sabía que el servidor seguía activo porque al realizar un Lookup obtenía las DNS correctas), no se producía el “fallo suave” sino que se quedaba esperando respuesta, lo que provocaba que las apps no se abrieran y/o que todo el sistema funcionase lento (por eso desconectarse de internet resolvía el problema).

Eso parece haber sido una mala interpretación -o desconocimiento- de lo que realmente estaba pasando con la notarización. En realidad, macOS envía información opaca sobre el certificado del desarrollador de las aplicaciones que se quieren abrir, pero no el nombre de la aplicación (un desarrollador utiliza el mismo certificado en todas sus aplicaciones) o la ID del dispositivo. Fuente

Apple, además ha respondido específicamente a este caso, actualizando su nota “Abrir apps de forma segura en el Mac” (la nota en español aún no se ha actualizado)

macOS se ha diseñado para mantener a los usuarios y sus datos a salvo al tiempo que se respeta su privacidad.

Gatekeeper realiza comprobaciones online para verificar su una app contiene malware conocido y si el certificado del desarrollador se ha cancelado. Nunca hemos combinado datos de estas comprobaciones con información sobre los usuarios de Apple o sus dispositivos. No usamos datos de estas comprobaciones para saber qué está abriendo o utilizando en su dispositivo cada usuario.

Las comprobaciones de notarización sólo son para saber que la app no contiene malware y se realiza a través de una conexión cifrada que es preparada para superar un fallo del servidor.

Estas comprobaciones de seguridad nunca han incluido el Apple ID del usuario o la identidad de su dispositivo. Para proteger aún más la privacidad, hemos dejado de incluir la dirección IP asociada con las comprobaciones de certificado de ID de Desarrollador, y nos aseguraremos que cualquier dirección IP se elimina de los registros