Sicherheit: Apple verbietet SSLv3 für Push-Server
Entwickler, die den Apple-Push-Notification-Dienst nutzen, dürfen ab Ende des Monats nur noch TLS einsetzen. Grund ist die problematische "Poodle"-Lücke.
Nachdem Apple zuletzt in OS X (Yosemite, Mavericks, Mountain Lion) eine im Zusammenhang mit SSLv3 stehende Sicherheitslücke ausgebügelt hatte, zwingt das Unternehmen nun auch seine Entwickler zum Handeln.
Das sogenannte Poodle-Problem erlaubt Angriffe auf gesicherte Verbindungen. Schuld ist ein Fehler in der Uralt-Verschlüsselung SSLv3, die von vielen Servern lange noch unterstützt worden war.
(Bild: Apple)
Wie Apple in einer Notiz an seine Entwickler schreibt, dürfen Server, die den Apple-Push-Notification-Dienst zum Versenden von Benachrichtigungen an Apple-Geräte verwenden, künftig nur noch über TLS ansprechbar sein. Die Unterstützung von Servern, die nur SSL 3.0 anbieten, wird demnach mit Stichtag 29. Oktober gestrichen. Dann werden darüber auch keine Benachrichtigungen mehr angenommen und verteilt.
Server, die bereits jetzt TLS und SSL 3.0 unterstützen, sollen nicht betroffen sein – hier wechselt Apple dann schlicht zu TLS. Um Push-Server-Installationen zu testen, hat der Hersteller im Provider-Communication-Interface im Rahmen seiner Entwicklungsumgebung SSL 3.0 bereits deaktiviert. Apple bittet, sofort mit eventuell notwendigen Probeläufen zu beginnen, damit Push-Nachrichten ab Ende des Monats weiterhin wie gewohnt ausgeliefert werden können. (bsc)
