大家好，从2025年9月1日开始，我调用Apple的StoreKit证书端点时突然收到401 Unauthorized错误，但在8月31日这些请求还完全正常。这个问题直接影响到App Store Server-to-Server webhook的签名验证，现在没法处理订阅相关的核心业务事件，急需解决思路！

受影响的端点 #

生产和沙箱环境的两个证书获取端点现在都强制要求认证：

• https://api.storekit.itunes.apple.com/certificates
• https://api.storekit-sandbox.itunes.apple.com/certificates

之前正常的请求方式 #

直到8月31日，我用这段Node.js代码都能正常拉取证书：

const response = await fetch('https://api.storekit.itunes.apple.com/certificates', {
  method: 'GET',
  headers: {
    'Accept': 'application/json',
    'User-Agent': 'MyApp-Webhook-Handler/1.0'
  }
});

当前的错误响应 #

用curl测试的完整错误返回如下：

$ curl -v -H "Accept: application/json" https://api.storekit.itunes.apple.com/certificates
< HTTP/2 401
< server: daiquiri/5
< content-type: text/plain
Unauthenticated
Request ID: KJQFUN5NTSSCWU35XBAT4HDXOI.0.0

我已经排查的内容 #

• 8月31日到9月1日之间完全没有修改过代码
• 生产和沙箱端点同时出现问题，排除环境单一故障
• Apple开发者账号处于活跃状态（2026年才过期）
• 翻遍了Apple开发者新闻、官方文档，没找到相关变更公告
• Apple开发者论坛里也搜不到任何用户讨论这个问题

业务上下文 #

这些证书是用来验证App Store发来的webhook签名的核心依赖——没有合法的公钥证书，我就没法确认webhook payload确实来自Apple，订阅续期、过期、退款等关键事件完全无法处理，业务已经停摆。

想请教大家的问题 #

1. 有没有其他开发者从2025年9月1日开始遇到完全一样的问题？
2. 是不是我漏看了Apple的官方变更公告？比如邮件通知或者隐藏的文档更新？
3. 现在这些端点要求的认证方式是什么？是需要生成JWT令牌，还是用App Store Connect API密钥？
4. 有没有替代的官方端点可以获取Apple的公钥证书？

额外环境细节 #

• 运行环境：Node.js + Firebase Cloud Functions
• 核心场景：App Store Server webhook签名验证
• 时间节点：8月31日晚还正常运行，9月1日凌晨突然报错
• 影响范围：所有依赖webhook的订阅业务完全中断

如果有大佬遇到过同样的问题、找到了解决方案，或者知道Apple的隐式变更规则，麻烦指点一下！万分感谢！🙏