由于 SSL 3.0 网络协议最近曝出严重安全漏洞,很多相关厂商都开始采取应对措施,苹果也通知开发者,其推送通知服务(APNS)将删除对 SSL 3.0 的支持,直接在 Provider Communication 接口中将其禁用。
苹果表示,推送通知今后会改用更安全的 TLS 安全传输层协议,开发者需要注意支持。
如果你的应用在同时使用 SSL 3.0、TLS,将不会受到任何影响,但如果只用了 SSL 3.0,还请尽快升级。
本月早些时候,Google 的一名研究人员发现了 SSL 3.0 中的一个安全漏洞,称之为“POODLE”(Padding Oracle On Downgraded Legacy Encryption)。攻击者可以向 TSL 发送虚假错误提示,然后将安全连接强行降级到古老的 SSL 3.0,然后就可以利用其中的设计漏洞窃取敏感信息。
Google 已经在自己的相关产品中陆续禁止回溯相容,强制使用 TLS 协议。Mozilla 也会在计划于 11 月 25 日发布的 Firefox 34 中彻底禁掉 SSL 3.0。微软同样发出了安全通告。国内的不少网站也已经行动起来。
SSL 最初是网景(Netscape)公司设计的 Web 安全传输协议,诞生于 1999 年,已经相当古老。IETF 将其进行了标准化,并改名为 TLS。从技术上讲,TLS 1.0、SSL 3.0 的差异其实非常微小,但前者更加安全。