macOS 27 将带来网络更改
Source: Hacker News
Apple 很少在 WWDC 首次 beta 版发布之前提前通报即将到来的 macOS 下一主要版本的重大更改。一个显著的例外是可能影响企业用户的网络更改。距离 macOS 27 的首次 beta 版发布仅剩六周多时间,我们已经收到了两条关于可能出现的变化的警告。
AFP 和网络存储
Apple 在 12 年前的 OS X 10.9 Mavericks 中将 SMB 设为主要文件共享协议,并多次警告其前身 AFP 将在未来被移除。macOS Sequoia 15.5 再次重申了这一警告,但 Apple 尚未确认何时会正式淘汰 AFP。
最可能受到影响的是仍在使用不支持 SMB 3 的 Time Capsule 或旧 NAS 系统的用户。由于 AFP 支持的移除不会追溯生效,只要你的 Mac 没有升级到 macOS 27,仍然可以使用 AFP 进行文件共享和 Time Machine 备份。然而,如果你使用的是 Apple‑silicon Mac 且 AFP 在 macOS 27 中被移除,你将无法在不更换网络存储的情况下升级系统。
TLS 与服务器
最近,Apple 警告称,未来版本的 macOS(以及其设备操作系统)将要求对某些服务器的连接至少使用 TLS 1.2,并附加其他要求。Rich Trouton 的 Der Flounder 博客对此进行了关注:
“未来版本的 macOS … 将要求对某些服务器的连接至少使用 TLS 1.2,并附加其他要求。”
—Apple 支持文章
Apple 并未给出过于具体的细节,但指出此更改可能在“下一个主要软件发布”时就出现。该支持文章的目的是评估对企业客户的影响;如果出现重大问题,Apple 可能会推迟 rollout。
此更改主要影响支持 MDM、DDM、自动设备注册、应用分发与安装以及 Apple 软件更新的服务器。本地内容缓存服务器 不会 受影响。
与 AFP 的移除不同,要判断服务器连接是否符合新规则更为困难,这些规则要求:
- 支持 TLS 1.2 或更高(推荐 TLS 1.3)
- 使用符合 ATS 标准的密码套件
- 提供符合 ATS 标准的有效证书
检查的最可靠方式是通过审计 Mac 或设备的日志条目来进行。由于 macOS 日志通常不捕获所需的细节,第一步是从 Apple 安装网络诊断日志配置文件。支持文章说明了如何使用 sysdiagnose 收集日志归档,并提供了用于提取相关条目的谓词:
p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|
mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|
remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'Apple 鼓励系统管理员将该命令复制粘贴到 Terminal 中执行,因为目前没有对应的 GUI 应用(尽管可以在 Ulbow 等工具中使用,或经修改后在 LogUI 中使用)。
如果您属于此提议更改的适用范围,您需要阅读:
- Rich Trouton 的报告:
Apple enforcing stricter network security requirements for future versions of Apple’s platform operating systems - Apple 的完整文章:
Support article 126655
与 AFP 类似,此更改不应追溯适用。
时间表
- 27.0 开发者测试版 预计于 8 June 2026 发布
- 27.0 公测版 预计于 8 July 2026 左右发布
- 27.0 正式版 最有可能在 mid‑September 2026(约五个月后)发布