Avec la release d’iOS 9, Apple a introduit « App Transport Security », soit « ATS ». Il s’agit d’un set de restrictions sur les connexions réseau d’une application. Une annonce a été faite au WWDC sur le fait qu’à partir de janvier 2017, ATS sera requis pour toutes les applications iOS.

Afin de respecter ces nouveaux standards, AirWatch va mettre à jour toutes ses Apps courant 2016. Ces mises à jour requièrent également une mise en conformité de la partie serveur de votre environnement AirWatch.

App Transport Security

Impact :

Si vous utilisez les Apps AirWatch, il faudra vérifier votre environnement « serveur AirWatch » et principalement celui qui est en communication direct avec les Apps iOS AirWatch afin de confirmer que celui-ci est compatible avec les futures versions des Apps. Les nouveaux prérequis serveurs sont décrit ci-dessous :

Prérequis serveur :

Les prérequis suivants sont applicables à tous serveurs qui sont en communication directes avec les Apps AirWatch soit :

  • AirWatch Device Serveur => en communication avec l’Agent AirWatch
  • Secure Email Gateway => en communication avec AirWatch Inbox ou VMWare Boxer
  • Exchange Serveur => en communication avec AirWatch Inbox ou VMWare Boxer
  • Content Gateway => en communication avec AirWatch Content Locker
  • Remote File Storage (RFS) et Content Rendering Engine (CRE) => en communication avec AirWatch Content Locker
  • Serveurs de fichiers => en communication avec AirWatch Content Locker
  • Mobile Access Gateway (MAG) ou AirWatch Tunnel => en communication avec le AirWatch Browser

Les prérequis pour tous ces serveurs en communication directe avec les Apps iOS d’AirWatch sont :

  • Le serveur doit supporter TLS en version 1.2
  • Les certificats doivent utiliser une signature en SHA256 ou mieux
  • Le serveur doit supporter les « Cipher suites » utilisant « elliptic curve Diffie-Hellman key exchange and forward secrecy »

En particulier les « Cipher suites » suivants seront supportés par toutes les applications iOS :

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Si vous souhaitez vérifier que vos serveurs sont correctement configurés avec les bon “Cipher suite”, AiM peut vous fournir la documentation permettant de réaliser ces checks. En plus, vous pouvez utiliser un site de contrôle appelé « Qualys SSL lab » qui vérifiera votre serveur, soyez sûr  que la ligne appelé iOS 9 soit pleinement fonctionnelle comme par exemple :

App Transport Security 2

Si une Apps AirWatch n’est pas capable de communiquer avec l’un des serveurs cités ci-dessus, vous constaterez l’erreur suivante dans les logs : « An SSL error has occurred and a secure connection to the server cannot be made. »

Quand faire ces mises à jour ?

AirWatch recommande de planifier ces changements dès que possible afin d’éviter tout problème lors des mises à jour d’Apps iOS. Ces changements requis sont d’ores et déjà complètement compatible avec toutes les Apps AirWatch ce qui signifie qu’il n’y aura aucun impact négatif suite à ces changements.

Les ingénieurs du centre de compétence « Mobilité » d’AiM se tiennent à votre disposition pour toutes questions ou demande d’aide que vous pourriez avoir. Contacter AiM