美文网首页iOS Tips
iOS 升级HTTPS通过ATS你所要知道的

iOS 升级HTTPS通过ATS你所要知道的

作者: _烈日 | 来源:发表于2016-12-08 15:23 被阅读969次

由于苹果规定2017年1月1日以后,所有APP都要使用HTTPS进行网络请求,否则无法上架,因此研究了一下在iOS中使用HTTPS请求的实现。网上搜索了一些比较有用资料,大家可以参考下

苹果强制升级的HTTPS不仅仅是在接口HTTP上加个S那么简单,它所有满足的是iOS9中新增App Transport Security(简称ATS)特性。

那满足ATS我们需要做什么呢
- 1. 必须是苹果信任的CA证书机构颁发的证书
- 2. 后台传输协议必须满足: TLS1.2 (这很重要, 后面的自制证书满足这个条件是前提)
- 3. 签字算法只能是下面的一种:
屏幕快照 2016-12-08 下午2.12.46.png
-4. 证书必须使用SHA256或者更好的哈希算法进行签名,要么是2048位或者更长的RSA密钥,要么就是256位或更长的ECC密钥。

目前有两种升级到HTTPS的方法:

  • 一、第三方认证的颁发CA证书(推荐)
  • 二、自己制作证书(这种不知道能不能满足苹果的审核)

一: 第三方认证的颁发CA证书

证书到底长什么样子呢? 取个栗子:
大家请打开https://www.baidu.com
然后看到

百度证书分析

哪些证书机构颁发的证书能用:苹果官方信任证书

收费SSL证书: 网上百度一大把, 收费还挺贵的,自己可以多找几个对比一下
免费SSL证书: 除了收费的CA证书机构, 你还可以去腾讯云申请免费的SSL证书, 教程免费在腾讯云申请SSL证书的方法

沃通(WoSign)免费的SSL证书最近被苹果封杀了, 能不能用大家可以看一下苹果的公告: 您的苹果手机轻点“设置”>“通用”>“关于本机”>"证书信任设置">"进一步了解被信任的证书"去了解

检测你的接口是否满足苹果的ATS要求, 有以下两种方法:

1. 腾讯云提供的检测页面检测
腾讯云的检测页面
2 终端输入 nsurl --ats-diagnostics --verbose 你的接口地址

大家可以参考这篇文章,里面的说的很明白:
关于iOS9中的App Transport Security相关说明及适配(更新于2016.7.1)
里面会详细说明你的证书哪点不符合ATS要求

自制证书

当然下面自己制作证书去实现HTTPS的,检测不通过的,所以我觉得审核会被拒
这种方法配置好了, 在手机端就什么都不用配置就可以请求了

苹果官方信任证书里说到有三种证书:

屏幕快照 2016-12-08 下午2.30.29.png

自制证书我觉得应该就是属于第二种情况, 所以这种方法我也不知道能不能通过苹果的审核, 只是提供一个方法给大家参考, 看到网上有人说可以,有人说不可以, 不到1月1号,自己没试过都不敢说大话

这种方式拿到后台的接口用谷歌浏览器打开跟百度的证书是有区别的

自己制作证书

很明显没有绿锁, 当打开的时候会询问是否连接这个不受信任的连接才会进一步打开, 下面就来一步步的实现(包括怎么制作证书)

iOS使用自签名证书实现HTTPS请求
iOS Https协议 自签证书访问数据参考这个例子的时候,博主自带的Demo AFN框架请求不了数据, 我用了最新AFN版本的成功返回数据
还可以参考一下
iOS 10 适配 ATS app支持https通过App Store审核

我在利用原生的代码测试时遇到的问题

    @interface ViewController () @end

    @implementation ViewController
    - (void)viewDidLoad {

    }

    - (void)touchesBegan:(NSSet *)touches withEvent:(UIEvent *)event
     {       NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] delegate:self delegateQueue:[NSOperationQueue mainQueue]];
            NSURLSessionDataTask *task =  [session dataTaskWithURL:[NSURL URLWithString:@"[https://www.baidu.com](https://www.baidu.com/)"] completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) {            
                    NSLog(@"%@", [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);
            }];


          [task resume];

    }

    - (void)URLSession:(NSURLSession *)session dataTask:(NSURLSessionDataTask *)dataTask   didReceiveResponse:(NSURLResponse *)response completionHandler:(void (^)(NSURLSessionResponseDisposition disposition))completionHandler { 
          NSLog(@"接收到服务器响应");//注意:这里需要使用completionHandler回调告诉系统应该如何处理服务器返回的数据
          //默认是取消
          /**

 
            NSURLSessionResponseCancel = 0,            默认的处理方式,取消

 
            NSURLSessionResponseAllow = 1,             接收服务器返回的数据

 
            NSURLSessionResponseBecomeDownload = 2,    变成一个下载请求

 
             NSURLSessionResponseBecomeStream           变成一个流

 
            */


            completionHandler(NSURLSessionResponseAllow);

      }

    - (void)URLSession:(NSURLSession *)session dataTask:(NSURLSessionDataTask *)dataTask didReceiveData:(NSData *)data {

          NSLog(@"获取到服务段数据");
          NSLog(@"%@",[self jsonToDictionary:data]);

    }

    - (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task didCompleteWithError:(nullable NSError *)error {

          NSLog(@"请求完成%@", error);
    }

    - (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler {


           NSLog(@"证书认证");
          if ([[[challenge protectionSpace] authenticationMethod] isEqualToString: NSURLAuthenticationMethodServerTrust]) {
    
              do
              {
                SecTrustRef serverTrust = [[challenge protectionSpace] serverTrust];
                NSCAssert(serverTrust != nil, @"serverTrust is nil");
                if(nil == serverTrust)
                      break; /* failed */
                /**
                  *  导入多张CA证书(Certification Authority,支持SSL证书以及自签名的CA),请替换掉你的证书名称
                  */

        
                NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"ca" ofType:@"cer"];//自签名证书

        
                NSData* caCert = [NSData dataWithContentsOfFile:cerPath];

        
                NSCAssert(caCert != nil, @"caCert is nil");

                if(nil == caCert)
                      break; /* failed */

        
                SecCertificateRef caRef = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)caCert);

        
                NSCAssert(caRef != nil, @"caRef is nil");

        
                if(nil == caRef)
                  break; /* failed */

        
                //可以添加多张证书            
                NSArray *caArray = @[(__bridge id)(caRef)];
                NSCAssert(caArray != nil, @"caArray is nil");
                if(nil == caArray)
                    break; /* failed */

                //将读取的证书设置为服务端帧数的根证书            
                OSStatus status = SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)caArray);

        
                NSCAssert(errSecSuccess == status, @"SecTrustSetAnchorCertificates failed");

        
                if(!(errSecSuccess == status))
                  break; /* failed */

        
                SecTrustResultType result = -1;
        
                //通过本地导入的证书来验证服务器的证书是否可信
                status = SecTrustEvaluate(serverTrust, &result);
                if(!(errSecSuccess == status))
                    break; /* failed */

        
                NSLog(@"stutas:%d",(int)status);
                NSLog(@"Result: %d", result);

        
                BOOL allowConnect = (result == kSecTrustResultUnspecified) || (result == kSecTrustResultProceed);
       
                if(allowConnect) {
                      NSLog(@"success");
                }else {
                  NSLog(@"error");
                 }           
                /* kSecTrustResultUnspecified and kSecTrustResultProceed are success */

                if(! allowConnect){
                    break; /* failed */
                }

#if 0

                /* Treat kSecTrustResultConfirm and kSecTrustResultRecoverableTrustFailure as success */

                /*   since the user will likely tap-through to see the dancing bunnies */

                if(result == kSecTrustResultDeny || result == kSecTrustResultFatalTrustFailure || result == kSecTrustResultOtherError)

                      break; /* failed to trust cert (good in this case) */

#endif

                // The only good exit point

                NSLog(@"信任该证书");

                NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];

                completionHandler(NSURLSessionAuthChallengeUseCredential,credential);

                return [[challenge sender] useCredential: credential forAuthenticationChallenge: challenge];

          }
          while(0);

      }
      // Bad dog
       NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];

       completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge,credential);

       return [[challenge sender] cancelAuthenticationChallenge: challenge];
  }

  - (NSDictionary *)jsonToDictionary:(NSData *)jsonData {

        NSError *jsonError;    
        NSDictionary *resultDic = [NSJSONSerialization JSONObjectWithData:jsonData options:NSJSONReadingMutableLeaves error:&jsonError];

        return resultDic;
  }

  @end

下面说说我在配置自己制作证书过程中遇到的问题:

1.转换证书: 把后台给你的.crt证书转化为.cer后缀

终端命令行openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der

2.利用系统的方法来不到

- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler {
        NSLog(@"证书认证");      
}

这个方法的时候, 是因为后台的传输协议还没升级到TLS1.2, 叫后台升级后就可以来到验证证书的这个方法了.

3.拖入证书读取不出证书数据

参考: https的证书错误,错误码-1012问题及解决方案

SDWebImage: 项目中大家用到AFN请求网络数据, 升级验证SSL证书的方案相信你看完上面的参考文章已经没问题了, 我给出的代码, 自定义网络请求也没问题了, 还有就是SDWebImage框架的请求HTTPS的图片时,大家可以绕过证书验证去加载图片

    [imageView  sd_setImageWithURL:[NSURL URLWithString:urlString] placeholderImage:self.placeholder options:SDWebImageAllowInvalidSSLCertificates];

恩, 这就是这几天升级HTTPS觉得有帮助的参考和总结.希望帮到你。

原文:http://www.cocoachina.com/ios/20161207/18308.html

相关文章

网友评论

  • 风听海水听石:没有强制说必须使用https,今天刚审核通过没用https。不过还是改成https比较好,万一哪天突然袭击就惨了。
    _烈日:@fruits 元旦前苹果发过通知,说这个延期了,具体到什么时候开始启用还得等通知

本文标题:iOS 升级HTTPS通过ATS你所要知道的

本文链接:https://www.haomeiwen.com/subject/luhsmttx.html

延伸阅读

深度阅读

  • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

栏目导航

热点阅读

iOS Tips

关于我们|服务条款|联系我们|iOS 升级HTTPS通过ATS你所要知道的|投稿指南|网站地图|RSS订阅|排版工具|手机版

提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!