【天威诚信】了解HTTPS对于iOS开发者的意义

发布时间:2016-12-21 09:46:00
  2017年1月1日起,苹果商店AppleStore应用将强制使用HTTPS。iOS开发者需要对HTTPS进行全面的了解,方能明白HTTPS对于IOS的重要意义。

  首先,我们先了解什么是SSL证书。SSL(Secure Sockets Layer, 安全套接字层),目前互联网的传输多使用HTTP 协议明文传输,而明文传输存在很多缺点,比如传输内容会被偷窥(嗅探)和篡改。而SSL 协议的作用就是在传输层对网络连接进行加密。



  何为TLS?到了1999年,SSL 因为应用广泛,已经成为互联网上的事实标准。IETF 就在那年把 SSL 标准化。标准化之后的名称改为 TLS(Transport Layer Security,传输层安全协议)。SSL与TLS可以视作同一个东西的不同阶段。

  什么是HTTPS?简单来说,HTTPS = HTTP + SSL/TLS, 也就是 HTTP over SSL 或 HTTP over TLS,这是后面加 S 的由来 。

  HTTPS和HTTP异同:HTTP和HTTPS使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。HTTP的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。

  而苹果IOS在早前就宣布,到2017年1月1日 App Store中的所有应用都必须启用 App Transport Security安全功能。App Transport Security(ATS)是苹果在iOS 9中引入的一项隐私保护功能,屏蔽明文HTTP资源加载,连接必须经过更安全的HTTPS。苹果目前允许开发者暂时关闭ATS,可以继续使用HTTP连接,但到年底所有官方商店的应用都必须强制性使用ATS。

  所以对于iOS开发者来说,需要尽早解决HTTPS请求的问题。发送HTTPS请求信任SSL证书和自签名证书,分为三种情况:

  1.如果你的app服务端安装的是SLL颁发的CA,可以使用系统方法直接实现信任SSL证书,关于Apple对SSL证书的要求请参考:苹果官方文档CertKeyTrustProgGuide

  这种方式不需要在Bundle中引入CA文件,可以交给系统去判断服务器端的证书是不是SSL证书,验证过程也不需要我们去具体实现。

  当然,如果你需要同时信任SSL证书和自签名证书的话还是需要在代码中实现CA的验证,这种情况在后面会提到。

  基于AFNetWorking的SSL特定服务器证书信任处理,重写AFNetWorking的customSecurityPolicy方法。这样,就能够在AFNetWorking的基础上使用HTTPS协议访问特定服务器,但是不能信任根证书的CA文件,因此这种方式存在风险,读取pinnedCertificates中的证书数组的时候有可能失败,如果证书不符合,certData就会为nil。

  3.更改系统方法,发送异步NSURLConnection请求。重点在于处理NSURLConnection的didReceiveAuthenticationChallenge代理方法,对CA文件进行验证,并建立信任连接。这里的关键在于result参数的值,根据官方文档的说明,判断(result == kSecTrustResultUnspecified) || (result == kSecTrustResultProceed)的值,若为1,则该网站的CA被app信任成功,可以建立数据连接,这意味着所有由该CA签发的各个服务器证书都被信任,而访问其它没有被信任的任何网站都会连接失败。该CA文件既可以是SLL也可以是自签名。

  2017年1月1日起,苹果商店AppleStore应用将强制使用HTTPS。iOS开发者需要对HTTPS进行全面的了解,方能明白HTTPS对于IOS的重要意义。
首先,我们先了解什么是SSL证书。SSL(Secure Sockets Layer, 安全套接字层),目前互联网的传输多使用HTTP 协议明文传输,而明文传输存在很多缺点,比如传输内容会被偷窥(嗅探)和篡改。而SSL 协议的作用就是在传输层对网络连接进行加密。

  什么是HTTPS?简单来说,HTTPS = HTTP + SSL/TLS, 也就是 HTTP over SSL 或 HTTP over TLS,这是后面加 S 的由来 。

HTTPS和HTTP有何不同:

  HTTP和HTTPS使用的是完全不同的连接方式;

  端口不同:HTTP是80,HTTPS是443;

  HTTP的连接很简单,是无状态的;

  HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全;

  而苹果IOS在早前就宣布,到2017年1月1日 App Store中的所有应用都必须启用 App Transport Security安全功能。App Transport Security(ATS)是苹果在iOS 9中引入的一项隐私保护功能,屏蔽明文HTTP资源加载,连接必须经过更安全的HTTPS。苹果目前允许开发者暂时关闭ATS,可以继续使用HTTP连接,但到年底所有官方商店的应用都必须强制性使用ATS。

  所以对于iOS开发者来说,需要尽早解决HTTPS请求的问题。发送HTTPS请求信任SSL证书。

天威诚信AppleStore ATS应对方案:

★确保与App通讯的所有服务器均提前部署HTTPS加密,绝对不能使用app的 Info.plist设置禁用 ATS;
★多个应用或多个服务器后台地址,需合理规划服务器部署,进行域名收敛以节约成本、方便管理;
★根据企业需求选择适合自己的SSL证书;
★安装新版Web Server程序,启用TLSv1.2版本协议;
★优化配置Ciphers,支持完全正向加密技术;
★选择权威授权CA认证机构天威诚信,获取sha256算法证书;
★更新应用接口,使用HTTPS通讯接口;
★除ATS已知的许可策略以外,启用服务端应用的全站HTTPS优化;
★使用CIM证书智能管理系统,轻松管理服务器证书;


相关阅读:

天威诚信“放大招”应对苹果IOS强制HTTPS加密

40天生死存亡 iOS App开发强制启用HTTPS

IOS安全预警:2017年全面强制启用HTTPS
最新发布
1
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
2
SSL证书过期?后果很严重!
3
疫情防控常态化,企业信息安全将同步迎来“大考”
4
SM2算法对比RSA算法,到底强在哪?
5
免费or付费?人类高质量SSL证书怎么选!
6
国务院颁发信息安全条例 国密SM2算法势在必行
7
东京奥运会被钓鱼网站攻击,如何破局?
8
Google再次发声,浏览器安全措施再度升级
9
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
10
打开网站显示您与此网站建立的连接不安全怎么办?
相关推荐
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
新安全措施:微软为Edge浏览器引入自动HTTPS切换功能
美国燃油管道竟被黑客封锁,吓!到底怎么才能确保数据安全?
天威诚信提醒您注意防范互联网流量劫持!
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
OpenSSL项目发布1.1.1k版本来修复两个高严重性缺陷
疫情防控常态化,企业信息安全将同步迎来“大考”
SM2算法对比RSA算法,到底强在哪?
自动化虽好,可不要“贪杯”哟~~
央企信息化,需要来点安全保障