Apple a décidé de donner plus de temps aux développeurs sur la transition vers des connexions sécurisées pour leurs applications. La mesure devait être active au 1er janvier, mais la société fait visiblement face à certains soucis.
À l’automne 2015, quand iOS 9 et OS X Yosemite sont arrivés, ils proposaient tous deux une fonctionnalité baptisée App Transport Security (ATS). Il s’agissait de simplifier pour les développeurs la connexion sécurisée de leurs applications à des serveurs distants. Rien n’avait jamais été exigé sur le terrain du HTTPS jusqu’à lors.
Au début de l’été, à la WWDC, Apple donne soudain le « La » : ATS sera obligatoire à compter du 1er janvier 2017. Traduction, les développeurs allaient devoir abandonner leurs connexions HTTP classiques pour se tourner vers le chiffrement. Une mesure que l’on pouvait estimer bienvenue puisque les données concernées n’allaient plus circuler en clair.
Un report sans nouvelle date
Cependant, imposer le HTTPS comporte plusieurs défis et Apple semble s’en être rendu compte. Dans un message publié cette nuit sur son site dédié aux développeurs, la firme indique que le support obligatoire d’ATS a été reporté à une date ultérieure. Non seulement les développeurs retardataires n’ont plus la pression des quelques derniers jours, mais la société ne donne aucune nouvelle date, ce qui est plus surprenant.
Il est souvent arrivé en effet qu’Apple ajoute des délais supplémentaires pour imposer certaines bascules, comme l’utilisation du format binaire universel pour les applications mobiles ou celle du tout 64 bits sur l’App Store. Mais il s’agissait d’un délai précis, en général de trois à six mois. Pourquoi pas dans ce cas ?
Trop lourdes contraintes autour de la publicité ?
Apple ne donne aucune raison, mais une hypothèse nous semble logique : la publicité. De très nombreuses connexions s’effectuent en effet en HTTP. Rendre obligatoire le chiffrement casse probablement le fonctionnement de ces contenus chez de nombreux éditeurs.
Le problème est le même pour de nombreux sites qui attendent simplement que l’industrie publicitaire s’adapte en conséquence pour généraliser le HTTPS (voir notre analyse). Mais quelle que soit la raison, les développeurs ont désormais du temps pour s’adapter. Quand Apple communiquera à nouveau, ce sera de toute façon pour préciser le nouveau délai.
Commentaires (13)
#1
comme c’est dommage, la pub..
" />
" />
ils peuvent pas activer https pour leurs applis et laisser le http pour la pub ? c’est pas si grave. M’enfin je suis pas dans le secret
#2
Avec Let’s encrypt, le passage des publicitaires à HTTPS devraient être facilité, non ?
#3
Ce n’était pas l’une des problématiques à laquelle NXI avait du faire face aussi ?
#4
#5
Et si on buttait le HTTP. Ca serait tellement plus simpe.
#6
#7
Le problème n’est absolument pas dans la gestion/prix du certificat en lui même, mais au niveau de la mise en place et charge serveur que ca demande en plus.
Et comme la publicité en ligne est composé de centaines de petits acteurs (en plus des gros) et qu’il en suffit d’un pas à jour pour tout faire planter, ça coince…
#8
Faut pas croire tout ce qu’on lit. Les acteurs sérieux de la pub savent parfaitement gérer le https, après dans l’univers du mobile les acteurs sérieux il y en a assez peu. Clairement le https est un vrai sujet sur lequel les plus gros acteurs pub sont largement prêt.
#9
ATS ce n’est pas juste “passer de HTTP vers HTTPS”, c’est passer vers du TLSv1.2 avec des ciphers ECDHE (apportant le PFS), ce qui en dehors des considérations publicitaires peut apporter des soucis en empêchant des sondes de sécurité (IDS/IPS) d’analyser le traffic utilisant ces ciphers (ce qui est possible avec les ciphers précédents (tant que la sonde dispose de la clé privée du certificat).
C’est une des nombreuses raisons pour lesquelles le passage à ATS pose des soucis à pas mal de monde.
#10
bah voila, on a déjà une meilleure explication que “OLOL c’est des feignasses les publicitaires”
" />
#11
“Mais il s’agissait d’un délai précis, en général de trois à six mois. Pourquoi pas dans ce cas ?”
Il me semble que vous repondez vous meme a la question plus haut “Cependant, imposer le HTTPS comporte plusieurs défis et Apple semble s’en être rendu compte.”
#12
#13
Non justement, si tu voulais faire l’effort de comprendre au lieu d’être condescendant.
Tu peux déjà avoir du HTTPS en place sur toutes tes pages depuis des années et ne pas être compatible ATS. Ce que j’essaye d’expliquer c’est que le non passage à ATS c’est n’est pas forcément parce que ça gênerait les publicitaires.