El pasado verano, y coincidiendo con el Apple’s Worldwide Developers’ Conference, la compañía de la manzana anunció que en 2017 se convertiría en requisito obligatorio para todos los desarrolladores de aplicaciones cumplir los requisitos de seguridad de comunicaciones conocidos con las siglas ATS (App Transport Security).
Para entender este comunicado, es necesario remontarse a la misma fecha del año pasado. En ese mismo congreso se anunció que con la llegada de iOS 9, sería necesario cumplir los requisitos de seguridad. Sin embargo, en ese momento se pusieron a disposición de los desarrolladores distintos mecanismos para permitir conexiones en sus apps, que no cumplan los requisitos.
¿Todo esto qué quiere decir?
Los requisitos recogidos en las ATS limitan las conexiones de las aplicaciones móviles en dispositivos iOS al uso de HTTPS con TLS (Transport Layer Security) versión 1.2, haciendo uso de certificados de seguridad emitidos por una CA (certificate authority) o admitidos en los terminales en los que se desee instalar la aplicación. Además, la conexión debe ser cifrada con un algoritmo AES-128 o AES-256 simétrico y debe permitirse PFS (perfect forward secrecy). Y el certificado SSL ser de uno de los siguientes tipos:
- Rivest-Shamir-Adleman (RSA) con una clave de al menos 2048 bits
- Elliptic-Curve Cryptography (ECC) con una clave de al menos 256 bits
En caso de ser necesario conectar la aplicación a un servicio Web o recurso publicado sin conexión segura (por HTTP) o bajo un HTTPS que incumpla otro requerimiento, sería necesario incluir una regla de excepción para permitir la misma. Estas excepciones dejarían de ser posibles de forma injustificada a partir del día 01 de enero de 2017.
El comunicado, se podría resumir como: a partir del 01 de enero, las aplicaciones que se deseen publicar (nuevas o versionados de una app ya existente en el AppStore) deberán cumplir los requerimientos anteriormente expuestos. De no ser así, se deberá justificar al equipo validador de Apple las razones del incumplimiento y la distribución o no de la misma quedará bajo la decisión del equipo de validación.
Situación actual
Tal como adelantábamos con el título de la noticia, el pasado 21 de diciembre, Apple anunciaba que la medida no sería adoptada de forma prioritaria tal como se había comunicado meses antes. Un estudio de la compañía, asegura que solo un 3% de las aplicaciones publicadas en su market, estarían en disposición de cumplir los nuevos requisitos. Por esta razón, no solo no se han aplicado las medidas con fecha 01 de enero, sino que la fecha de aplicación es todavía desconocida.
Escrito por:
Faustino AlonsoJefe de Proyecto de NEO
.