關于iOS9中的App Transport Security相關說明及適配

iOS9中新增App Transport Security(簡稱ATS)特性, 主要使到原來請求的時候用到的HTTP青团,都轉(zhuǎn)向TLS1.2協(xié)議進行傳輸。這也意味著所有的HTTP協(xié)議都強制使用了HTTPS協(xié)議進行傳輸糟袁。原文如下:

App Transport Security

App Transport Security (ATS) enforces best practices in the secure connections between an app and its back end. ATS prevents accidental disclosure, provides secure default behavior, and is easy to adopt; it is also on by default in iOS 9 and OS X v10.11. You should adopt ATS as soon as possible, regardless of whether you’re creating a new app or updating an existing one.

If you’re developing a new app, you should use HTTPS exclusively. If you have an existing app, you should use HTTPS as much as you can right now, and create a plan for migrating the rest of your app as soon as possible. In addition, your communication through higher-level APIs needs to be encrypted using TLS version 1.2 with forward secrecy. If you try to make a connection that doesn't follow this requirement, an error is thrown. If your app needs to make a request to an insecure domain, you have to specify this domain in your app'sInfo.plistfile

如果我們在iOS9下直接進行HTTP請求是會收到如下錯誤提示:

App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app's Info.plist file.

系統(tǒng)會告訴我們不能直接使用HTTP進行請求,需要在Info.plist新增一段用于控制ATS的配置:

NSAppTransportSecurity

NSAllowsArbitraryLoads

也即:

這段配置中的NSAppTransportSecurity是ATS配置的根節(jié)點泊业,配置了節(jié)點表示告訴系統(tǒng)要走自定義的ATS設置油讯。而NSAllowsAritraryLoads節(jié)點則是控制是否禁用ATS特性,設置YES就是禁用ATS功能田弥。

直到前面的配置可以完美的適配iOS9了涛酗,但是如果你想遵循蘋果給出的標準,讓自己的數(shù)據(jù)更加安全,那么需要繼續(xù)往下看商叹。

其實ATS并不單單針對HTTP進行了限制燕刻,而是對HTTPS也有一定的要求,以百度的地址為例剖笙,如果在App中請求https://baidu.com的話卵洗,是會收到如下的錯誤信息:

NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9802)

查閱了一下官方資料(https://developer.apple.com/library/prerelease/ios/technotes/App-Transport-Security-Technote/),發(fā)現(xiàn)HTTPS的請求需要滿足下面的要求:

These are the App Transport Security requirements:

The protocol Transport Security Layer (TLS) must be at least version 1.2.

Connection ciphers are limited to those that provide forward secrecy (see the list of ciphers below.)

Certificates must use at least an SHA256 fingerprint with either a 2048 bit or greater RSA key, or a 256 bit or greater Elliptic-Curve (ECC) key.

根 據(jù)原文描述弥咪,首先必須要基于TLS 1.2版本協(xié)議过蹂。再來就是連接的加密方式要提供Forward Secrecy(正向保密?這個不清楚是什么聚至,好奇的筒子找資料吧~)酷勺,文檔中羅列出支持的加密算法(如下表)。最后就是證書至少要使用一個SHA256 的指紋與任一個2048位或者更高位的RSA密鑰扳躬,或者是256位或者更高位的ECC密鑰脆诉。如果不符合其中一項,請求將被中斷并返回nil坦报。

支持Forward Secrecy的加密方式

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

我們再來看剛才的百度的地址库说,用瀏覽器打開百度的地址,然后點擊鏈接前面的鎖圖標片择,如圖:

可以看到它使用了TLS 1.2版本協(xié)議,符合第一個約定骚揍。然后可以看到使用AES_128_GCM進行加密字管,并使用ECDHE_RSA作為密鑰交換機制的,我們可以在Forward Secrecy的列表中找到對應兩條記錄:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

但是還不能確定百度是否提供Forward Secrecy信不,我們再點開證書信息嘲叔,查看“簽發(fā)者名稱”和“公共密鑰信息”兩項,如圖:

看到簽名算法中寫著“帶RSA加密的SHA-1”抽活×蚋辏可以判定該加密算法不包含在上面兩項中。因此百度是一個不符合ATS的要求下硕,所以返回了錯誤丁逝。這時候,如果要解決這樣的問題梭姓,同樣需要對ATS進行配置霜幼。配置如下:

NSAppTransportSecurity? ? ? ? ? ? NSExceptionDomains? ? ? ? ? ? ? ? ? ? baidu.com? ? ? ? ? ? ? ? ? ? ? ? ? ? NSIncludesSubdomains? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? NSExceptionRequiresForwardSecrecy? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? NSExceptionAllowsInsecureHTTPLoads? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

其中NSIncludesSubdomains設置為YES表示百度的子級域名都使用相同設置。 NSExceptionRequiresForwardSecrecy為NO由于百度不支持ForwardSecrecy誉尖,因此屏蔽掉改功能罪既。最后 NSExceptionAllowInsecureHTTPLoads設置為YES,則表示允許訪問沒有證書或者是自簽名、過期琢感、主機名不匹配的證書引發(fā) 的錯誤的域名(這里檢查過百度的證書貌似沒有什么問題丢间,但是還是需要設置此項才允許訪問)。

最后編輯于
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末驹针,一起剝皮案震驚了整個濱河市千劈,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌牌捷,老刑警劉巖墙牌,帶你破解...
    沈念sama閱讀 211,123評論 6 490
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異暗甥,居然都是意外死亡喜滨,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,031評論 2 384
  • 文/潘曉璐 我一進店門撤防,熙熙樓的掌柜王于貴愁眉苦臉地迎上來虽风,“玉大人,你說我怎么就攤上這事寄月」枷ィ” “怎么了?”我有些...
    開封第一講書人閱讀 156,723評論 0 345
  • 文/不壞的土叔 我叫張陵漾肮,是天一觀的道長厂抖。 經(jīng)常有香客問我,道長克懊,這世上最難降的妖魔是什么忱辅? 我笑而不...
    開封第一講書人閱讀 56,357評論 1 283
  • 正文 為了忘掉前任,我火速辦了婚禮谭溉,結果婚禮上墙懂,老公的妹妹穿的比我還像新娘。我一直安慰自己扮念,他們只是感情好损搬,可當我...
    茶點故事閱讀 65,412評論 5 384
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著柜与,像睡著了一般巧勤。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上旅挤,一...
    開封第一講書人閱讀 49,760評論 1 289
  • 那天踢关,我揣著相機與錄音,去河邊找鬼粘茄。 笑死签舞,一個胖子當著我的面吹牛秕脓,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播儒搭,決...
    沈念sama閱讀 38,904評論 3 405
  • 文/蒼蘭香墨 我猛地睜開眼吠架,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了搂鲫?” 一聲冷哼從身側(cè)響起傍药,我...
    開封第一講書人閱讀 37,672評論 0 266
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎魂仍,沒想到半個月后拐辽,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,118評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡擦酌,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,456評論 2 325
  • 正文 我和宋清朗相戀三年俱诸,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片赊舶。...
    茶點故事閱讀 38,599評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡睁搭,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出笼平,到底是詐尸還是另有隱情园骆,我是刑警寧澤,帶...
    沈念sama閱讀 34,264評論 4 328
  • 正文 年R本政府宣布寓调,位于F島的核電站锌唾,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏捶牢。R本人自食惡果不足惜鸠珠,卻給世界環(huán)境...
    茶點故事閱讀 39,857評論 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望秋麸。 院中可真熱鬧,春花似錦炬太、人聲如沸灸蟆。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,731評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽炒考。三九已至,卻和暖如春霎迫,著一層夾襖步出監(jiān)牢的瞬間斋枢,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,956評論 1 264
  • 我被黑心中介騙來泰國打工知给, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留瓤帚,地道東北人描姚。 一個月前我還...
    沈念sama閱讀 46,286評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像戈次,于是被迫代替她去往敵國和親轩勘。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 43,465評論 2 348

推薦閱讀更多精彩內(nèi)容