WWDC 2016苹果开发者大会上,苹果在讲解全新的iOS 10中提到了数据安全这一方面,并且苹果宣布iOS应用将从2017年1月起启用名为App Transport Security(ATS)的安全传输功能。
App Transport Security(简称ATS)特性, 主要使到原来请求的时候用到的HTTP,都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输(当然也是有过程,详情见结尾处)。并且对HTTPS也做了以下三点要求,否则返回为nil:
- 首先必须要基于TLS 1.2版本协议
- 证书至少要使用一个SHA256的指纹与任一个2048位或者更高位的RSA密钥,或者是256位或者更高位的ECC密钥
- 连接的加密方式要提供向前加密
HTTPS
HTTPS和HTTP的区别主要为以下四点:
- https协议需要到ca申请证书,一般免费证书很少,需要交费。
- http是超文本传输协议,信息是明文传输,https 则是具有安全性的SLL/TLS(两种叫法,)加密传输协议(非对称加密,)。
- http和https不同的连接方式,用的端口也不一样,前者是80,后者是443。
- http的连接很简单,是无状态的;HTTPS协议是由SSL(做了加密)+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
HTTPS的服务器配置的证书分两大类,一类是经过权威机构签名颁发的证书,花钱买,免费的也有(CA证书)。另一类就是服务器配置的是研发人员自己创建的证书(自建证书)。
AFNetworking
AFNetworking可以内嵌自建证书通过比对服务器端证书、内嵌的证书,站点域名是否一致来验证连接的服务器是否匹配。(来防止中间人,比如金青花瓷等软件)。
开终端下载或者直接让后台给你
openssl s_client -connect www.XXX.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > api.cer
//服务器端包含公钥的证书分发到客户端后,需要转换为DER格式的证书文件.
//openssl x509 -outform der -in name.crt -out name.der
NSString *certFilePath = [[NSBundle mainBundle]
pathForResource:@"api" ofType:@"der"];
NSData *certData = [NSData dataWithContentsOfFile:certFilePath];
NSSet *certSet = [NSSet setWithObject:certData];
//pinnedCertificates,校验服务器返回证书的证书,AF自动寻找
AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:certSet];
//因为使用自建证书,所以要开启允许非法证书
policy.allowInvalidCertificates = YES;
//检验证书omain字段和服务器的是否匹配
policy.validatesDomainName = YES;
//af2.6之后拿掉了validatesCertificateChain:检验证书链条
AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
manager.securityPolicy = policy;
[manager GET:@"api" parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id _Nullable responseObject) {
NSLog(@"%@",responseObject);
} failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
NSLog(@"%@",error);
}];
ATS默认只对采用权威机构签名颁发证书的站点进行访问(信任的HTTPS),
而自签的证书的HTTPS站点则是不信任的HTTPS,所以我们仍要在App的Info.plist为Allow Arbitrary Loads全部放开。更好的方式是开放局部,同样在info.plist中设置:
<key>NSAppTransportSecurity</key>
<dict>
<key>NSExceptionDomains</key>
<dict>
<key>api.com</key>
<dict>
<key>NSExceptionAllowsInsecureHTTPLoads</key>
<true/>
</dict>
</dict>
</dict>
HTTPS最核心便是服务器的私钥。私钥都在服务器。客户端下载导入的证书里已经预留了公钥。公钥加密,私钥解密,大大的降低了被中间人破解的可能性。
最新情况(摘自社区)
First up, there have been no changes to the technical behaviour of ATS (other than the addition of NSAllowsArbitraryLoadsInWebContent and NSRequiresCertificateTransparency). From a technical perspective, ATS exceptions in the newly seeded OS releases work the same way as they do in the current OS release.
首先,ATS的技术行为不会有任何变化(除了新增两个字段NSALLOWSARBITRARYLOADSINWEBCONTENT和NSREQUIRESCERTIFICATETRANSPARENCY,也就是更细分权限)。从技术角度来看,ATS在IOS10中和IOS9中的表现完全一致。
What has changed is that App Review will require “reasonable justification” for most ATS exceptions. The goal here is to flush out those folks who, when ATS was first released, simply turned it off globally and moved on. That will no longer be allowed.
那么到底是什么变化了呢?我们会收紧审核政策,即对于开发者添加的ATS例外(即HTTP接口),要求提供一个“合理的解释”。之所以要增加这么一个“麻烦”,是为了避免开发者们都无脑地全局关闭ATS,使得ATS偏离其初衷,形同虚设。开发者将无法再无脑地全局关闭ATS,并且添加例外时需要提供合理的解释。
如此看来,苹果是想以这样的形式教育和促进https的普及,但也没有激进到一刀切的地步。一句话总结:
你仍然可以在17年之后使用http接口,但需要在ATS中添加例外,同时审核时多少说两句理由。更重要的是,你要知道这个政策会越来越紧。躲得过初一,躲不过十五。早点开始考虑向HTTPS迁移吧!
网友评论
而自签的证书的HTTPS站点则是不信任的HTTPS,所以我们仍要在App的Info.plist为Allow Arbitrary Loads全部放开 ”,感觉这句不对,我们后台配置的https,使用tls1.2,自签的证书,是可以访问成功的