iOS 10 und macOS Sierra: Apple schneidet alte Security-Zöpfe ab
Veralteter Verschlüsselung geht es an den Kragen: SSLv3, RC4 und PPTP gehören zu den Opfern der Verschlankungskur in Apples neuen Betriebssystemen.
Apple räumt im Krypto-Zoo der eigenen Betriebssysteme auf und stellt die Unterstützung einiger veralteter und bekanntermaßen unsicherer Verfahren ein. So sollen das kommende macOS Sierra und iOS 10 das Protokoll SSLv3 und das Verschlüsselungsverfahren RC4 nicht mehr unterstützen. Web-Server oder andere Dienste, die keine neueren Verfahren unterstützen, können dann mit den Apple-Clients keine verschlüsselten Verbindungen mehr aufbauen, erklärt Apple in seiner Liste der Änderungen.
Darüber hinaus muss auch Microsofts VPN-Dinosaurier PPTP dran glauben. PPTP-Verbindungen werden nach einem Upgrade nicht mehr in den VPN-Verbindungen auftauchen. Als Alternativen empfiehlt Apple in einer Umstiegsanleitung für Admins den Einsatz von IPSec via L2TP, IKE2 oder in der Cisco-Variante oder SSL-VPNs diverser Anbieter.
Höchste Zeit
Die Änderungen sind eigentlich längst überfällig. SSLv3 ist bereits seit vielen Jahren überaltert; durch einen erzwungen Downgrade einer verschlüsselten Verbindung eröffnete es immer wieder Lücken für Angriffe, etwa durch die Poodle-Attacke. RC4 gilt bereits seit längerem als geknackt; die IETF hat es 2015 sogar mit einem eigenen RFC geächtet. Nach Google, Mozilla und Microsoft folgt nun endlich auch Apple dieser Vorgabe. Wie unsicher PPTP ist, demonstrierte heise Security bereits 2012 im Selbstversuch Der Todesstoß für PPTP.
[Update 13.09.2016 16:30 Uhr] Ab Ende des Jahres müssen Apps auf Apples Vorgabe hin generell über das HTTPS-Protokoll kommunizieren, mit kleineren – begründeten – Ausnahmen. (ju)
