HTTPS四次握手

iOS ATS

2016年12月21日蘋果更新了截止日期，宣布延期執行ATS支持要求Supporting App Transport Security。
此舉為開發者提供了更多時間來做適配和支持。然而，對于iOS開發者來說，盡早解決HTTPS請求的問題仍為上策。
蘋果ATS對HTTPS證書的要求
啟用ATS必須符合以下標準，不滿足條件的HTTPS證書，ATS都會拒絕連接：

• 服務器所有的連接使用TLS1.2以上版本
• HTTPS證書必須使用SHA256以上哈希算法簽名
• HTTPS證書必須使用RSA 2048位或ECC 256位以上公鑰算法
• 使用前向加密技術

此外，蘋果ATS支持CT證書透明，要求開發者使用支持CT證書透明度的SSL證書，確保SSL證書合法透明，防止中間人攻擊。

發送HTTPS請求信任SSL證書，分為兩種情況：

1. 如果你的app服務端安裝的是SSL權威機構頒發的CA證書，可以使用系統方法直接實現信任SSL證書，關于Apple對SSL證書的要求請參考：蘋果官方文檔CertKeyTrustProgGuide
   這種方式不需要在Bundle中引入CA文件，可以交給系統去判斷服務器端的證書是不是SSL證書，驗證過程也不需要我們去具體實現，網絡請求部分的代碼無需做修改即可。

2. 基于AFNetWorking的SSL自制服務器證書信任處理，重寫AFNetWorking的customSecurityPolicy方法,這里創建了一個MMDBaseHandle類，分別對GET和POST方法進行了封裝：

   - (void)requestWithURL:(NSString * _Nonnull) URLString method:(HTTPMethod)method params:(id _Nullable)params block:(nonnull void (^)(MMDResponse * _Nonnull response))block {NSString *token = [MMDCommonUserModel instance].accessToken; NSLog(@"********HTTP REQUEST ACCESSTOKEN:%@", token); if (![StringUtils isNullOrEmpty:token]) { [self.requestSerializer setValue:token forHTTPHeaderField:@"mmTicket"]; }// 加上這行代碼，https ssl 驗證。 if(openHttpsSSL) { [mgr setSecurityPolicy:[self customSecurityPolicy]]; }NSLog(@"********HTTP REQUEST URL: %@%@", self.baseURL.absoluteString, URLString); NSLog(@"********HTTP REQUEST PARAMS: %@", params);switch (method) { case GET: { NSLog(@"暫時還不支持GET請求方式，請用POST請求"); break; } case POST: { [self POST:URLString parameters:params progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id _Nullable responseObject) { [self publicHandleResponse:responseObject reqURL:URLString error:nil block:block]; } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) { [self publicHandleResponse:nil reqURL:URLString error:error block:block]; }]; break; } case PUT: { NSLog(@"暫時還不支持PUT請求方式，請用POST請求"); break; } case DELETE: { NSLog(@"暫時還不支持DELETE請求方式，請用POST請求"); break; } } }+ (AFSecurityPolicy*)customSecurityPolicy { // /先導入證書 NSString *cerPath = [[NSBundle mainBundle] pathForResource:certificate ofType:@"cer"];//證書的路徑 NSData *certData = [NSData dataWithContentsOfFile:cerPath];// AFSSLPinningModeCertificate 使用證書驗證模式 AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];// allowInvalidCertificates 是否允許無效證書（也就是自建的證書），默認為NO // 如果是需要驗證自建證書，需要設置為YES securityPolicy.allowInvalidCertificates = YES;//validatesDomainName 是否需要驗證域名，默認為YES； //假如證書的域名與你請求的域名不一致，需把該項設置為NO；如設成NO的話，即服務器使用其他可信任機構頒發的證書，也可以建立連接，這個非常危險，建議打開。 //置為NO，主要用于這種情況：客戶端請求的是子域名，而證書上的是另外一個域名。因為SSL證書上的域名是獨立的，假如證書上注冊的域名是www.google.com，那么mail.google.com是無法驗證通過的；當然，有錢可以注冊通配符的域名*.google.com，但這個還是比較貴的。 //如置為NO，建議自己添加對應域名的校驗邏輯。 securityPolicy.validatesDomainName = NO;securityPolicy.pinnedCertificates = @[certData];return securityPolicy; } 

其中的cerPath就是app bundle中證書路徑，certificate為證書名稱的宏，僅支持cer格式，securityPolicy的相關配置尤為重要，請仔細閱讀customSecurityPolicy方法并根據實際情況設置其屬性。
這樣，就能夠在AFNetWorking的基礎上使用HTTPS協議訪問特定服務器，但是不能信任根證書的CA文件，因此這種方式存在風險，讀取pinnedCertificates中的證書數組的時候有可能失敗，如果證書不符合，certData就會為nil。

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.juherenli.com/20485.html