Apple stopt gebruik onveilig ssl 3.0 voor pushnotificaties

Apple stopt met de ondersteuning van ssl 3.0 voor pushnotificaties, de verouderde versie van ssl waar Google-onderzoekers onlangs een kwetsbaarheid in vonden. Ook Twitter maakte onlangs bekend ondersteuning voor ssl 3.0 uit te faseren.

Apple logoApp-ontwikkelaars die pushnotificaties naar de Apple-servers versturen moeten er dan ook voor zorgen dat die servers tls ondersteunen. App-ontwikkelaars die hun servers niet geschikt maken, kunnen vanaf 29 oktober geen pushnotificaties naar iOS- en OS X-apparaten meer versturen, waarschuwt Apple.

Ontwikkelaars die pushberichten naar iOS-gebruikers willen versturen kunnen dat niet rechtstreeks: ontwikkelaars sturen hun berichten naar een Apple-server, die het op zijn beurt doorpusht naar de telefoon, tablet of pc van een gebruiker. Het gaat om de notificaties die gebruikers in het lockscreen en notificatiecentrum te zien krijgen.

Apple geeft enkel expliciet aan dat de verbinding tussen de server van de app-ontwikkelaar en de Apple-server geen ondersteuning meer heeft voor ssl 3.0; het is onbekend hoe het zit met de verbinding tussen de gebruiker en de Apple-notificatieserver. Het is aannemelijk dat ook die verbinding geen ondersteuning voor ssl 3.0 meer zal hebben.

Vorige week vonden Google-onderzoekers een ernstig lek in ssl 3.0. Een aanvaller die iemands verkeer kan onderscheppen kan daardoor bijvoorbeeld cookies die over https worden verzonden, onderscheppen. Ssl 3.0 is sterk verouderd, maar wordt uit legacy-overwegingen vaak nog ondersteund. Inmiddels zijn webbrowsers bezig met het uitfaseren van de ondersteuning.

Onlangs schrapte Twitter ook al ondersteuning voor ssl 3.0, wat vooral problemen oplevert voor gebruikers van oude browsers als Internet Explorer 6. Uit onderzoek van de Universiteit van Michigan onder de, volgens Alexa, miljoen grootste websites bleek dat op 12 oktober 96,9 procent van die websites ondersteuning voor ssl 3.0 had. Dat is nu waarschijnlijk minder; onbekend is hoeveel.

Door Joost Schellevis

Redacteur

Feedback • 23-10-2014 12:59 26

23-10-2014 • 12:59

26

Lees meer

Apple stopt met Terug naar mijn Mac
Apple stopt met Terug naar mijn Mac Nieuws van 22 augustus 2018
Apple geeft app-ontwikkelaars meer tijd voor https-verplichting
Apple geeft app-ontwikkelaars meer tijd voor https-verplichting Nieuws van 22 december 2016
Apple stelt https bij iOS-apps vanaf januari 2017 verplicht
Apple stelt https bij iOS-apps vanaf januari 2017 verplicht Nieuws van 15 juni 2016
Internet-taskforce schrapt ssl 3.0 officieel vanwege onveiligheid
Internet-taskforce schrapt ssl 3.0 officieel vanwege onveiligheid Nieuws van 26 juni 2015
'Groot aantal iOS-apps bevat https-kwetsbaarheid'
'Groot aantal iOS-apps bevat https-kwetsbaarheid' Nieuws van 21 april 2015
Google-onderzoekers vinden ernstig lek in oude ssl-versie - update
Google-onderzoekers vinden ernstig lek in oude ssl-versie - update Nieuws van 15 oktober 2014
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (26)

-Moderatie-faq
26
18
14
1
0
0
Wijzig sortering
Distrax1988 23 oktober 2014 13:05
Nou mooi, en zo volgen er waarschijnlijk nog 10miljoen bedrijven, en wat is de adoptie van een nieuw protocol kunnen wij daar als gebruikers iets van merken peformance etc?
Anoniem: 120539 @Distrax198823 oktober 2014 13:12
SSL 3.0 is al jaren geleden opgevolgd door TLS.
In de volksmond hebben we het vaak over het gebruik van SSL, maar in de praktijk wordt meestal TLS gebruikt. Ondersteuning voor SSL 3.0 (en erger nog: 2.0, inclusief ernstige kwetsbaarheden) is echter vaak nog aanwezig i.v.m. compatibiliteit.
The Zep Man
@Anoniem: 12053923 oktober 2014 13:54
Ondersteuning voor SSL 3.0 (en erger nog: 2.0, inclusief ernstige kwetsbaarheden) is echter vaak nog aanwezig i.v.m. compatibiliteit.
Een beetje relativeren. Op schrikbarend veel servers staat nog SSL 2.0 aan. Echter zijn op veel van deze servers geen cipher suites ingeschakeld waar SSL 2.0 mee om kan gaan. Effectief is daarmee SSL 2.0 niet bruikbaar, ook niet voor exploitatie.

Dat is overigens geen excuus om het aan te laten staan. ;)
basmuys 23 oktober 2014 13:06
En terecht! ze zouden eigenlijk al wat eerder de support van 3.0 weg moeten trekken ik snap het wel.. vanwege legacy applications maar het is zo'n verouderde standaard.. Goed bezig in iedergeval!
Anoniem: 604167 23 oktober 2014 13:12
Kan r niet mee zitten dat oudere browsers niet met worden ondersteund. Mensen en ontwikkelaars moeten er gewoon eens voor zorgen dat iedereen de nieuwste versie van een browser heeft. Gelukkig doen Firefox en Chrome dit automatisch. Nu zorgen dat IE 11 /12 ook op oudere platformen ( Vista en 7) draait.

Dit zou web ontwikkelaars een hoop polyfils en falback code schelen en natuurlijk dat iedereen de nieuwste versie van HTTP en SSL / TSL gebruikt. Zou de wereld van het web een stukje mooier maken.
vistu 23 oktober 2014 13:29
Waarom dit wel nieuws is en heel veel andere sites niet? Het gaat hier niet om ondersteuning door browsers zoals bij de meeste anderen wel het geval is. Wanneer een ontwikkelaar een pushbericht wil versturen gaat dat door een - beveiligde - verbinding op te zetten met Apple. Op het moment dat je een SSL3 verbinding probeert op te zetten nadat de stekker eruit is getrokken worden er geen berichten meer verzonden. Omdat iOS heel veel ontwikkelaars heeft is het toch relevante informatie voor diezelfde ontwikkelaars dat ze aan de slag moeten.
Waarom veel berichten nog over ssl3 gaan? Legacy, systemen zijn jaren geleden opgezet en functioneren gewoon prima.
samson007 23 oktober 2014 15:25
Hier een perfecte link om de SSL te testen

https://www.ssllabs.com/ssltest/

ikzelf heb begin deze week al mijn https servers aangepast en heb nu overal A O-)

[Reactie gewijzigd door samson007 op 24 juli 2024 06:22]

jurjen74 23 oktober 2014 16:19
Werd tijd....
mutley69 23 oktober 2014 21:20
Tja - de fans zullen wel weer denken dat men overdrijft - net zoals men denkt dat ik overdrijf. Het is wat het is - men denkt wat men wil.
Dennis Beekman 23 oktober 2014 13:13
Zolang Apple de gebruiker er niet mee naait vind ik het een goede ontwikkeling als ze een nieuw protocol gaan gebruiken welke veiliger is :)
Anoniem: 453892 24 oktober 2014 11:23
Ik trek met mijn hostingbedrijf voor de zekerheid ook maar de stekker uit sslv3
Anoniem: 75167 @mkools2423 oktober 2014 13:58
Omdat, zoals je wellicht weet, heel veel developers push notifications hebben geïmplementeerd in hun Apps. Apple heeft mails gestuurd naar devs dat ze vanwege de POODLE vulnerability in SSL 3.0 per 29 oktober SSL 3.0 support gaan stoppen. Dat heeft dus grote impact voor alle developers / organisaties die hun APNS integratie nog steeds via SSL 3.0 hebben lopen, en dáárom is het nieuws...
AlphaWierie @mkools2423 oktober 2014 13:18
Blijkbaar houd je dan van scheten? aangezien je er als eerste bij bent.

Als je ook ff het stuk leest voordat je met een comment komt, kun je zien dat ook andere partijen ermee stoppen. En wat dan nog als het alleen Apple zou zijn ? als het informatief is dan mag het geplaatst worden.

[Reactie gewijzigd door AlphaWierie op 24 juli 2024 06:22]

basmuys @mkools2423 oktober 2014 13:08
Waarom? Apple is echt niet de enige die de stekker er uit trekt hoor.
Dit is verder gewoon een informatief stuk. ik snap je probleem hier niet mee.
Mmaaikel @basmuys23 oktober 2014 13:15
Apple is inderdaad niet de enige die de stekker er uit trekt, maar Apple staat wel in de titel van het stukje en de rest niet. Daar heeft mkools24 het over.

Het is inderdaad een informatief stuk, daar is niks mis mee.
monojack @Mmaaikel23 oktober 2014 16:19
Men vernoemt Apple omdat het bij Apple de grootste impact heeft op een deel van de Tweakers lezers. Dit treft ontwikkelaars voor iOS en daar zijn er wel een pak van. Het is dan ook niet verwonderlijk dat Apple in de titel staat.

De FP staat elke dag vol met nieuws over Samsung en Google. Ik denk dat dat de verhouding 4 berichten van hen tegen 1 bericht van Apple is en telkens weer zie je dezelfde soort idiote uitspraken als "weeral Apple ..."
Divitiae @mkools2423 oktober 2014 13:31
Elk nieuwsbericht op Tweakers is tijdelijk voorpagina nieuws, enkel en alleen omdat recente berichten daar worden weergegeven.
Intrepidity @Soldaatje23 oktober 2014 13:26
Ondersteunen != actief gebruiken

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq