HTTPS-Zwang für Apps: Apple verlängert Deadline
Eigentlich sollten iPhone- und iPad-Apps ab Jahresende nicht mehr über ungesicherte HTTP-Verbindungen kommunizieren, nun hat Apple zusätzliche Zeit für die Umstellung eingeräumt.
Apple lässt iOS-Entwicklern mehr Zeit, um Apps auf gesicherte Verbindungen umzustellen: Die Frist für die verbindliche Unterstützung von App Transport Security (ATS) wurde jetzt auf unbestimmte Zeit verlängert, wie das Unternehmen auf der Developer-Seite mitteilte, eine neue Deadline folge später. Ursprünglich war geplant, Apps ab Ende des Jahres nur noch die verschlüsselte Kommunikation über HTTPS zu erlauben. "HTTPS ist das neue HTTP", erklärte der Konzern auf der zurückliegenden Entwicklerkonferenz, App Transport Security werde ab Ende 2016 erzwungen.
HTTPS-Umstellung seit längerem geplant
Die schon mit iOS 9 und OS X 10.11 El Capitan eingeführte Technik “App Transport Security” soll für eine sichere Standardkonfiguration sorgen sowie die versehentliche Preisgabe von Daten verhindern. Apps müssen dabei dafür angeben, mit welchen Domains sie kommunizieren wollen. Der iPhone-Hersteller setzt für HTTPS-Verbindungen nun TLS v1.2, AES-128 und SHA-2 zur Verschlüsselung sowie auch Forward Secrecy voraus: Letzteres soll verhindern, dass eine bereits abgeschlossene, verschlüsselte Kommunikation zu einem späteren Zeitpunkt mit Kenntnis des geheimen Schlüssels geknackt wird.
Ausnahmen vorgesehen
Apple hatten für den Übergang aber Ausnahmen vorgesehen, damit Apps etwa eine unverschlüsselte Verbindung zu einem Dritt-Server herstellen können. Dem ursprünglichen Zeitplan zufolge müssen Entwickler einen ungesicherten Verbindungsaufbau dann erst begründen, bevor die App im App Store erscheinen darf. Das Anzeigen von beliebigen Webseiten mit Apples In-App-Browser WKWebView wird als Ausnahme über eine unverschlüsselte Verbindung generell zugelassen. Auch für die Wiedergabe von Streaming-Inhalten über AVFoundation macht der Hersteller eine Ausnahme. Wie lange die Ausnahmeregelungen gelten sollen, hat Apple bislang nicht bekanntgegeben.
Problematisch ist die Umstellung besonders für Apps, die verschiedene Inhalte von Dritten integrieren und dafür zahlreiche Verbindungen zu verschiedenen Servern aufbauen, wie beispielsweise Podcast-Apps, Feedreader und Clients für soziale Netzwerke. (lbe)
