macOS 27: Apple sắp loại bỏ hỗ trợ AFP và thắt chặt tiêu chuẩn bảo mật TLS

Apple hiếm khi đưa ra cảnh báo trước về những thay đổi lớn trong phiên bản macOS tiếp theo trước khi bản beta đầu tiên ra mắt tại WWDC. Tuy nhiên, một ngoại lệ đáng chú ý là các thay đổi liên quan đến mạng có thể tác động đến người dùng doanh nghiệp. Năm nay, chỉ còn hơn sáu tuần nữa là đến bản beta đầu tiên của macOS 27, chúng ta đã có hai cảnh báo quan trọng về những gì sắp tới.

Kết thúc hỗ trợ AFP và lưu trữ mạng

Apple đã chuyển giao thức SMB thành giao thức chia sẻ tệp chính kể từ OS X 10.9 Mavericks hơn 12 năm trước. Công ty nhiều lần khẳng định sẽ loại bỏ sự hỗ trợ cho giao thức tiền nhiệm là AFP trong tương lai. Cảnh báo này được lặp lại với macOS Sequoia 15.5, nhưng thời điểm chính xác loại bỏ AFP vẫn chưa được xác nhận cho đến nay.

Những người chịu ảnh hưởng nhiều nhất là những ai vẫn đang sử dụng Time Capsule hoặc các hệ thống NAS cũ không hỗ trợ SMB3. Việc loại bỏ hỗ trợ AFP sẽ không áp dụng hồi tố, nghĩa là nếu không có máy Mac nào của bạn được nâng cấp lên macOS 27, bạn vẫn có thể tiếp tục sử dụng AFP để chia sẻ tệp và sao lưu Time Machine. Tuy nhiên, nếu bạn đang sử dụng máy Mac Apple silicon và hỗ trợ AFP bị cắt bỏ trong macOS 27, bạn sẽ không thể nâng cấp hệ điều hành nếu không thay thế thiết bị lưu trữ mạng của mình.

Yêu cầu mới về TLS và máy chủ

Gần đây nhất, Apple đã cảnh báo rằng một phiên bản macOS trong tương lai, cùng với các hệ điều hành thiết bị khác, sẽ yêu cầu kết nối đến một số máy chủ nhất định phải sử dụng ít nhất TLS 1.2, cùng với các yêu cầu bổ sung.

Mặc dù Apple tránh nói quá cụ thể, họ cảnh báo rằng thay đổi này có thể diễn ra "sớm nhất là trong bản phát hành phần mềm lớn tiếp theo". Mục đích của bài viết hỗ trợ này là để đánh giá tác động của thay đổi đối với khách hàng doanh nghiệp. Nếu gặp phải vấn đề lớn, Apple có thể quyết định hoãn việc triển khai.

Thay đổi này mang tính kỹ thuật cao hơn và chủ yếu áp dụng cho các máy chủ hỗ trợ MDM, DDM, Automated Device Enrolment, phân phối và cài đặt ứng dụng, cũng như cập nhật phần mềm của Apple. May mắn thay, nếu bạn vận hành máy chủ Content Caching cục bộ, thiết bị này sẽ không bị ảnh hưởng.

Khác với việc loại bỏ AFP, việc xác định xem một kết nối máy chủ có tuân thủ quy tắc mới hay không khó hơn nhiều. Các yêu cầu mới bao gồm:

• Hỗ trợ TLS 1.2 hoặc mới hơn (khuyến nghị TLS 1.3).
• Sử dụng bộ mật mã (ciphersuites) tuân thủ ATS.
• Cung cấp chứng chỉ hợp lệ đáp ứng tiêu chuẩn ATS.

Cách đáng tin cậy nhất để kiểm tra là kiểm toán các kết nối được thực hiện đến từng máy chủ, bằng cách sàng lọc các mục nhật ký từ Mac hoặc thiết bị. Việc này càng phức tạp hơn vì nhật ký thường không thu thập thông tin cần thiết theo mặc định. Do đó, bước đầu tiên là cài đặt hồ sơ ghi nhật ký chẩn đoán mạng có sẵn từ Apple.

Apple giải thích cách thu thập tệp logarchive bằng sysdiagnose và cung cấp một câu lệnh dài để trích xuất các mục liên quan. Thực tế, Apple đang khuyến khích quản trị viên hệ thống sao chép và dán lệnh vào Terminal, vì không có ứng dụng GUI nào trong macOS có thể thực hiện việc này.

Nếu bạn nằm trong phạm vi ảnh hưởng của thay đổi đề xuất này, bạn sẽ cần đọc kỹ tài liệu từ Rich Trouton và bài viết đầy đủ của Apple. Giống như AFP, thay đổi này sẽ không áp dụng hồi tố.

Thời gian biểu dự kiến

• Beta dành cho nhà phát triển 27.0: Dự kiến ngày 8 tháng 6 năm 2026.
• Beta công khai 27.0: Khoảng ngày 8 tháng 7 năm 2026.
• Phiên bản chính thức 27.0: Có khả năng vào giữa tháng 9 năm 2026, chỉ còn 5 tháng nữa.