ist es richtig, dass Apple den http-download unterbindet?
[...]
Oder ist das vom Softwareentwickler Computerinsel nur vergessen worden?
Ja, beides trifft zu.
Programme, die auf und für OS X El Capitan entwickelt wurden und die üblichen Schnittstellen für Web-Kommunikation verwenden, dürfen kein unverschlüsseltes HTTP mehr verwenden, es sei denn, der Programmierer fügt intern dem Programm eine "Weiße Liste" von Domains bei, die auch unverschlüsselt noch kontaktiert werden dürfen oder er deklariert das ganze Programm als "HTTP-unsicher".
"Auf und für El Capitan" heißt konkret, dass der Entwickler seine Software mit den Bibliotheksversionen gelinkt hat, die zu OS X 10.11 gehören. Viele Programmierer, die ihre Software von Yosemite auf El Capitan umstellen, vergessen leider, auch die dabei nötige HTTP-Anpassung durchzuführen.
Apple will damit die Entwickler dazu zwingen, alle Programmstellen, bei denen Web-Kommunikation stattfindet, zu überdenken und sicherer zu gestalten. El Capitan-Programme müssen sich an spezielle Regeln halten, die von Apple "App Transport Security (ATS)" genannt werden und vom Betriessystem aktiv überwacht werden. Die gleichen Regeln gelten auch für iOS ab Version 9.0.
Standardmäßig werden sogar HTTPS-Verbindungen gesperrt, wenn der Server weder "Forward Secrecy", noch "TLS Version 1.2 oder höher" beherrscht. Diese Regeln können ebenso per Whitelisting außer Kraft gesetzt werden.
Peinlich war in diesem Zusammenhang übrigens auch, dass Apple zunächst selbst vergessen hat, die Apache-Version in OS X Server 5 auf TLS 1.2 umzustellen. Native El Capitan-Programme konnten deshalb Apples native "Profi-Web-Server-Installation" für El Capitan nicht mehr verwenden, weil das Betriebssystem sich selbst als zu unsicher eingestuft hat. Das geht erst seit 3 Wochen mit OS X Server 5.1.
