WARNING: This article may be obsoleteThis post was published in 2021-02-01. Obviously, expired content is less useful to users if it has already pasted its expiration date.
MacOS在处理系统更新的过程中可能会使用http(80)而不是全程https(443):
首先是检测更新:macOS会使用https连接到一个服务器(一般是Akamai CDN),把当前系统信息发送过去,检查本机是否有可用更新。
然后是下载更新安装包:macOS会使用http连接到一个服务器(根据地理位置决定,有的时候会连上Akamai,有的时候会连上Level3),然后下载安装包。
能否强制Software Update全程使用https进行更新?我尝试了一下,在防火墙规则里直接禁止 softwareupdated 进程连接任何IP地址的80端口,但是随后系统更新检测窗口直接罢工。
尽管以上步骤几乎没有任何信息泄漏、劫持的可能性(初始请求有https,后续有Apple Inc.签名和完整性检查),但是如果你始终看这个http不顺眼,可以用别的方法下载:直接去搜索引擎里搜需要的安装包,然后下载整个DMG文件(全程https)。
Security Update 2020-001 (Catalina)
Download Security Update 2020-001 (Mojave)
注意调整 updates.cdn-apple.com 对应的DNS,防止解析到不合适的下载服务器。
类似的“http不安全”问题在这里也被提到:https://github.com/drduh/macOS-Security-and-Privacy-Guide/blob/master/README.md#preparing-and-installing-macos
Last Modified in 2021-08-31
