App Store: last minute uitstel voor HTTP-apps

Door: Raymon Mens - 2 reacties

Apps die via een onversleutelde verbinding met de buitenwereld praten, blijven voorlopig welkom in de App Store. Apple wilde apps die via een onbeveiligde verbinding communiceren aanvankelijk vanaf 1 januari 2017 weigeren, maar stelt die eis voor onbepaalde tijd uit.

Apple moedigt ontwikkelaars sinds iOS 9 aan om gebruik te maken van App Transport Security (ATS), wat zich uit laat leggen als een volgens de laatste standaarden beveiligde https-verbinding voor applicaties.

Strenge eisen

De deadline is voor onbepaalde tijd verschoven om ontwikkelaars meer tijd te geven zich op ATS voor te bereiden. Apple stelt namelijk strenge eisen, alleen een versleutelde verbinding is niet genoeg. De verbinding moet het meest actuele encryptie-protocol TLS 1.2 ondersteunen en ook compatibel zijn met forward secrecy, wat wil zeggen dat één onderschept en ontsleuteld pakketje nog niet alles dat over de verbinding wordt verzonden kan ontsleutelen.

app transport secur
Klik/tap voor groter.

Een nieuwe deadline is niet gegeven en er is momenteel geen gemakkelijke mogelijkheid voor consumenten om te checken of een app voldoet aan de eisen van App Transport Security (ATS).

Reacties

2 reacties
  • Profielfoto
    nervus

    Een nieuwe deadline is niet gegeven en er is momenteel geen gemakkelijke mogelijkheid voor consumenten om te checken of een app voldoet aan de eisen van App Transport Security (ATS).

    Dat zouden ze (Apple dus) in de app-store gewoon kunnen aangeven. Maar waarschijnlijk krijgen dan erg weinig apps dat “keurmerk”.

  • Profielfoto
    Muziekfan

    Dit probleem speelt ook bij webbrowsers. Per 1 januari weigeren veel webbrowsers verbindingen met sites met SHA-1 encryptie. Alle SSL certificaten dienen vanaf dat moment SHA-2 compatibel te zijn.