Apple останавливает поддержку SSL 3.0 для push-уведомлений

23.10.2014 | 23:50 Экономика

На следующей неделе Apple прекратит поддержку протокола шифрования, в котором обнаружены серьезные уязвимости.

 
Поддержка SSL 3.0 будет прекращена 29 октября, говорится в заявлении компании.
«Провайдерам, использующим только SSL 3.0 нужно будет перейти на поддержку TLS как можно скорее, чтобы обеспечить работу сервиса Apple Push Notification», говорится в сообщении разработчикам. «Провайдеры, которые поддерживают оба протокола — TLS и SSL 3.0, не будут затронуты и им не нужно ничего менять».

Исследователи Google на прошлой неделе продемонстрировали уязвимость в SSL (Secure Sockets Layer) версии 3.0, выпущенной более 15 лет назад. SSL был заменен TLS (Transport Layer Security), но старые версии все еще используются некоторыми серверами в Интернете и поддерживаются веб-браузерами.

Исследователи обнаружили, что уязвимость делала возможной атаку посредника (man-in-the-middle) с никнеймом «POODLE», в результате которой было возможно понизить SSL/TLS соединение до менее безопасной версии 3.0, в которой уязвимость позволяет злоумышленнику украсть у жертвы куки аутентификации. Злоумышленник и жертва должны быть в той же сети, что создает угрозу для людей, использующих общественный Wi-Fi.

Apple заявила, что уже отключила SSL 3.0 в интерфейсе Provider Communication interface в своей среде разработчиков, что позволит разработчикам убедиться, что push-уведомления по-прежнему будут попадать к адресатам.

Многие компании решили прекратить поддержку SSL 3.0 из-за трех уязвимостей, найденных в этом году, и касающихся широкого спектра продуктов в Интернете. В их число входит уязвимость Bash «Shellshock» и «Heartbleed» в OpenSSL.