Apple heeft laten weten dat het stopt met het ondersteunen van SSL 3.0 voor pushnotificaties. SSL 3.0 is de verouderde versie van SSL waar Google-onderzoekers onlangs een grote kwetsbaarheid in vonden. Ook Twitter liet al eerder weten dat het de ondersteuning gaat uit faseren.
De app ontwikkelaars die pushnotificaties naar de Apple-servers versturen moeten er dan nu voor zorgen dat deze servers ook TLS ondersteunen. Mochten app ontwikkelaars die niet doen, dan kunnen ze vanaf 29 oktober geen pushnotificaties naar iOS- en OS X-apparaten meer versturen, waarschuwt Apple.
Ontwikkelaars die pushberichten naar iOS-gebruikers willen versturen kunnen dat niet rechtstreeks: ontwikkelaars sturen hun berichten naar een Apple-server, die het op zijn beurt doorpusht naar de telefoon, tablet of pc van een gebruiker. Het gaat om de notificaties die gebruikers in het lockscreen en notificatiecentrum te zien krijgen.
Apple geeft enkel expliciet aan dat de verbinding tussen de server van de app-ontwikkelaar en de Apple-server geen ondersteuning meer heeft voor ssl 3.0; het is onbekend hoe het zit met de verbinding tussen de gebruiker en de Apple-notificatieserver. Het is aannemelijk dat ook die verbinding geen ondersteuning voor ssl 3.0 meer zal hebben.
Ernstig lek in SSL 3.0
Zoals je al in een eerder bericht op onze website kon lezen hebben Google-onderzoekers een ernstig lek in SSL 3.0 gevonden. Een kwaadbedoelende aanvallers kan door het lek iemands verkeer onderscheppen en kan daardoor bijvoorbeeld cookies die over https worden verzonden onderscheppen. Ssl 3.0 is sterk verouderd, maar wordt uit legacy-overwegingen vaak nog ondersteund. Inmiddels zijn webbrowsers bezig met het uitfaseren van de ondersteuning.
Onlangs schrapte Twitter ook al ondersteuning voor ssl 3.0, wat vooral problemen oplevert voor gebruikers van oude browsers als Internet Explorer 6. Uit onderzoek van de Universiteit van Michigan onder de, volgens Alexa, miljoen grootste websites bleek dat op 12 oktober 96,9 procent van die websites ondersteuning voor ssl 3.0 had. Dat is nu waarschijnlijk minder; onbekend is hoeveel.
Apple stopt gebruik onveilig SSL 3.0 voor pushnotificaties
Geen opmerkingen:
Een reactie posten