IOS的春天怎能少了HTTPS加密呢?

  IOS的春天来了,气温回升,IOS强制 ATS(App Transport Security)的季节,怎能少了HTTPS加密带来的温暖呢?

IOS的春天怎能少了HTTPS加密呢?

  在2016年的 WWDC 2016 上苹果宣布: 2017年1月1日将强制要求所有IOS APP 适配 ATS,简单地说就是除了特殊情况(浏览器、第三方服务、媒体)外,APP 跟服务端的通信必须使用 HTTPS 协议。
不过,就在2017年马上到来的时候苹果公司将这个日期推迟了,据说推迟的原因是要给IOS上的APP一个缓冲时间,给那些没有通过ATS审核的APP们,一个部署SSL证书的时间,早晚都是要强制的,既然如此赶早不赶晚,IOS上还未部署SSL证书的企业及开发者真的要抓紧了。

为什么ATS强制HTTPS加密传输?

  普通 HTTP 请求直接基于 TCP,在互联网上明文传播,而且没有任何校验,链路上的每一个节点都可以对数据包进行篡改,使用移动、联通等手机网络访问网站被插入流量球甚至广告等运营商劫持行为就是最常见的例子。而 HTTPS 请求运行在 TLS 层之上,TLS 运行在 TCP 上,TLS 有独特的握手、建立连接、数据验证机制,让运行商劫持无处下手:只要任何一个数据包被篡改,数据校验就会失败,这个请求会直接被浏览器等客户端抛弃,网页不会显示。

为什么不建议使用自签名SSL证书?

  自签名证书不会被浏览器信任,因为每次有新的 HTTPS 证书到达某个操作系统时,系统会去访问 root 证书的服务器以确定域名证书的身份,这些合法的 root 证书服务商就是固定的那几家,显然自签名证书不会被信任,所以我们在 12306 抢票的时候需要先下载他的自签名证书并手动信任,不然就打不开页面。

  我们可以看到,自签名证书的验证在代码层面,在审核的时候是完全不可感知的,所以就没有什么“苹果不接受自签名证书”之类的问题了。而且,自签名证书被广泛的用于各种系统内部的连接加密,不是苹果可以一刀切的:如果粗暴的在操作系统层面阻止了自签名证书,导致企业客户的系统突然挂掉,后果不堪设想。

应该部署哪种类型的SSL证书?

  一定要选择国家授牌的CA认证机构,并且SSL证书的品牌一定要是国际公认的。

  企业及开发者可根据情况选择适合的SSL证书:个人开发者及中小企业可使用免费DV产品;企业级应用、大型互联网应用选择多域名或通配符类证书;应用推广、形象展示页面,使用高端EV服务器证书。

  目前天威诚信的SSL证书产品均能满足苹果ATS安全要求,而针对还不清楚自己的APP是否满足ATS要求的企业及个人,天威诚信专门提供了ATS检测工具,https://tools.yunssl.cn/ats/ ,输入域名及端口号就可轻松完成检测。

  天威诚信服务于全行业超过95%的大客户,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。IOS的春天少不了HTTPS加密,还没部署SSL证书的企业及开发者抓紧时间哦!