(Bild: Hersteller)
Apple drängt Entwickler dazu, in ihren Programmen für iOS 9 und OS X 10.11 ausschließlich auf eine verschlüsselte Übertragung per HTTPS zu setzen. HTTP-Verbindungen müssen begründet werden ? und sind offenbar nur temporär vorgesehen.
Apple macht gegen unsichere HTTP-Verbindungen mobil: Für neue Apps sollten Entwickler ausschließlich auf eine verschlüsselte Übertragung mit HTTPS setzen, betont der iPhone-Hersteller in Unterlagen zu den Neuerungen in iOS 9. Für bestehende Apps mahnt Apple an, alsbald möglich komplett auf das unverschlüsselte HTTP-Protokoll zu verzichten. Der Schritt deutet an, dass Apple zu einem späteren Zeitpunkt nur noch Apps zulässt wird, die vollständig HTTPS nutzen.
Die neu eingeführte Technik „Application Transport Security“ (ATS) soll Entwicklern bei der Umsetzung helfen: Apps müssen dann lediglich angeben, mit welchen Domains sie kommunizieren wollen, erklärt Apple ? ATS verhindere die versehentliche Preisgabe von Daten, sorge für eine sichere Standardkonfiguration und sei leicht zu integrieren. Der Konzern drängt Entwickler dazu, die Technik in ihrer Software einzusetzen.
Ob die HTTPS-Vorgabe auch für Browser von Dritt-Entwicklern gilt, bleibt vorerst unklar ? in einem Abschnitt spricht Apple nur von der Kommunikation zwischen App und „Backend-Servern“.
In der Dokumentation zu Mac OS X 10.11 „El Capitan“ führt Apple aus, dass ATS Klartext-Verbindungen über HTTP grundsätzlich unterbindet ? außer der Entwickler liefert eine Begründung für dieses Verhalten. Ausnahmen lassen sich über eine Einstellungsdatei konfigurieren ? allerdings nur vorübergehend.
Für die verschlüsselten HTTPS-Verbindungen will Apple bestimmte Voraussetzungen zur verwendeten TLS-Version und Cipher Suite festlegen. Details sollen im weiteren Verlauf der Entwicklerkonferenz WWDC veröffentlicht werden. iOS 9 und OS X 10.11 sollen im Herbst erscheinen. (lbe)