Raymon Mens
Raymon Mens Nieuws 15 juni 2016

Apple verplicht https bij apps eind 2016

Apple gaat het gebruik van https in iOS-apps eind dit jaar verplichten. Apps die via een onversleutelde verbinding met de buitenwereld praten zijn dan niet meer welkom in App Store. Apps mogen bovendien alleen het nieuwste en veilige TLS 1.2-protocol gebruiken.

Dit wil zeggen dat al alle communicatie van apps via een beveiligde verbinding zal verlopen. Nu is dit voor gebruikers moeilijk te checken en kan communicatie van onbeveiligde apps door derden worden onderschept.

Minder uitzonderingen

Apple zette vorig jaar al de eerste stap naar volledig versleutelde app-communicatie. De iPhone-maker noemt dit App Transport Security, oftewel ATS. Het gebruik hiervan was niet verplicht, waardoor ontwikkelaars met één vinkje bij het bouwen van hun app gegevens onbeveiligd konden versturen. Dit jaar is het gebruik van ATS wél verplicht en zijn er slechts enkele uitzonderingen.

Uitzonderingen moeten per domeinnaam vastgelegd worden. Dit kan nodig zijn bij bijvoorbeeld een cdn-server die plaatjes, audio en video centraal opslaat. Een ontwikkelaar moet dat domein dan specifiek whitelisten. Ook is er een uitzondering mogelijk voor links naar externe websites die met in-app Safari weergeven worden. Anders zouden browsers als Chrome en Firefox uit de App Store alleen maar https-sites kunnen laden.

OMT is toegankelijk via https, maar gebruikt http als primaire communicatie­methode. Momenteel wordt er gewerkt aan het omzetten van de gehele site en app naar de beveiligde verbinding. Voor ontwikkelaars die hier nog niet aan begonnen zijn, is er werk aan de winkel.

Reageer op artikel:
Apple verplicht https bij apps eind 2016
Sluiten