Apple、SSL v3.0の脆弱性(POODLE)を受け10月29日からApple Push Notification ServerでSSL v3.0を無効に。


 AppleがSSL v3.0脆弱性(通称POODLE)に対応するるためApple Push Notification serviceでSSLv3を停止すると伝えています。詳細は以下から。


 Appleは2008年からユーザーへ通知サービスとしてApple Push Notification service(APNS)を運用してきましたが、最近 脆弱性が発見されたSSL v3.0をAPNSで止めるそうです。

[iPhone Push Notification Server tied to Snow Leopard Server – AppleInsider]

 Apple Developer Newsには「SSV v3.0脆弱性に対応するため10月29日をもってAPNSではSSL v3.0を非サポートとします。SSL v3.0だけを使用しているプロバイダはTLSをサポートしAPNSに対応するか確認する必要があり、互換性をチェックするために開発環境ではすでにSSL v3.0を無効にしてあります。開発者はこれを使用してプッシュ通知をテストすることが出来ます。」と掲載されており、iOS 8.1OS X Security Update 2014-005で対応したSSL v3.0の脆弱性をサーバー側でも対応するようです。

Update to the Apple Push Notification Service

October 22, 2014
The Apple Push Notification service will be updated and changes to your servers may be required to remain compatible.

In order to protect our users against a recently discovered security issue with SSL version 3.0 the Apple Push Notification server will remove support for SSL 3.0 on Wednesday, October 29. Providers using only SSL 3.0 will need to support TLS as soon as possible to ensure the Apple Push Notification service continues to perform as expected. Providers that support both TLS and SSL 3.0 will not be affected and require no changes.

To check for compatibility, we have already disabled SSL 3.0 on the Provider Communication interface in the development environment only. Developers can immediately test in this development environment to make sure push notifications can be sent to applications.

Update to the Apple Push Notification Service – News and Updates – Apple Developer

Apple dropping support for SSL 3.0 on push notification servers, requiring TLS by October 29th – 9to5Mac