我項目中使用的是AFNetworking 3.1�����,所以我先利用AFNetworking做適配(其實AFNetworking的https適配還是利用NSURLSession(NSURLConnection)做的適配�����,只不過NSURLSession(NSURLConnection)適配有點麻煩��,AFNetworking的適配更加簡單)��,原本的manager初始化不變����,只不過需要為manager的securityPolicy設置值(不好意思哦!不知道怎么樣才能添加規范的代碼����,只能用截圖來代替了)。
檢查后發現請求的路徑不對��,之前都是http�,忘記改成https了(請求的路徑一定要跟服務器開發人員確定好了),修改完成后還是報錯���,抓狂?����?�!還是很奇葩的錯誤��,請求被取消了��,錯誤碼-999�����,
找了很多資料才發現還需要站點證書�,上面請求失敗可能是因為ssl第一次握手的時候驗證沒通過�����,然后就直接被取消了��。所以這時候就需要獲取站點的證書,獲取的方法有兩種:
openssl s_client -connect www.baidu.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > https1.cer
這個命令的目的就是直接在你的終端打開的當前目錄下面下載某一站點的證書,但是我怎么都獲取不到下載的證書都是空的���,而且終端還報錯�,找不到錯誤的原因�����,沒辦法只能用第二種辦法了
2.直接在瀏覽器中打開項目的任意一個接口的完整路徑�,如果你服務器支持https的話會在鏈接的前面出現一個小鎖的圖標(我使用的是safair瀏覽器),點擊小鎖會出現提示點擊顯示證書就會出現站點證書的信息了(以百度為例)���,點擊證書的圖標到桌面上就可以把證書下載到桌面上了�����,這樣就獲取到站點證書了(這種方式不知道會不會存在啥問題����,但是到目前為止我沒遇到啥問題)
這時候再跑起來,接口都能獲取到數據了�����,成功了����,不過到這里大家不知道會不會存在疑問�����,證書這么容易獲取到���,那別人獲取了怎么辦����?就算用抓包工具攔截了請求里面的內容都是加密的�,但是別人可以利用證書向我們服務器發請求的,是不是也存在點問題呢��?這個問題我到現在還不是很明白����,有的資料說這樣獲取的證書是公鑰�,沒有私鑰的話也是白費力氣���。
3.由于iOS做https適配的時候對服務器是有要求的(一個符合 ATS 要求的 HTTPS)��,所以出了問題也不一定是客戶端的問題
其實上面成功了�����,但是還有很多概念不是很清楚�����,例如啥叫ATS(App Transport Security)�����,它跟https有啥關系呢�?
App Transport Security(簡稱ATS)特性, 主要使到原來請求的時候用到的HTTP,都轉向TLS1.2協議進行傳輸����。這也意味著所有的HTTP協議都強制使用了HTTPS協議進行傳輸,ATS是在iOS 9.0 和 OS X v10.11版本中增加的特性��,使用iOS 9.0或者OS X v10.11的SDK版本(或更新的SDK)進行編譯應用時會默認啟動ATS。則需要對ATS進行配置�。如果使用iOS 9.0或者OS X v10.11之前的SDK版本編譯的應用默認是禁止ATS的,因此不會影響應用的網絡連接方面的功能(即使在iOS 9.0的機子上跑也是不影響的)��。其實ATS并不單單針對HTTP進行了限制�����,對HTTPS也有一定的要求:
首先頒發給服務器證書的證書機構(CA)的根證書必須是內置于操作系統(哪些根證書被信任可以查看https://support.apple.com/zh-cn/HT205205��,或者在你的機子的設置-通用-關于本機最下面的“進一步了解被信任的證書”中查看�����,百度的CA根證書:)或者受用戶或者系統管理員信任并安裝到操作系統上的�����。而且必須要基于TLS 1.2版本協議(以百度為例��,最好使用Chrome瀏覽器�����,其他的瀏覽器我沒找到查看TSL協議的版本號)����。再來就是連接的加密方式要提供Forward Secrecy(FS正向保密,感興趣的筒子可以看看這個https://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html����,--!已經打不開了����,支持Forward Secrecy的加密方式
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
),文檔中羅列出了支持的加密算法(上面的原文中有說明���,我把它獨立抽出來放到下面表格中查看)�。最后就是證書至少要使用一個SHA256的指紋與任一個2048位或者更高位的RSA密鑰���,或者是256位或者更高位的ECC密鑰���。如果不符合其中一項,請求將被中斷并返回nil�,簡單的說就是下面幾個要求:
1.Transport Layer Security協議版本要求TLS1.2以上
2.服務的Ciphers配置要求支持Forward Secrecy等
3.證書簽名算法符合ATS要求等
以上就是一次排查服務器的https是否符合ATS規格的方法,當然也可以使用下面的命令行一次性查詢:輸出結果都是pass的話就說明鏈接是支持ATS的����。
nscurl --ats-diagnostics --verbose https://www.baidu.com
4.由于很多第三方的請求尚未適配https�,所以iOS的ATS規格又分為四大類
1.HTTPS Only (只有HTTPS���,所有情況下都使用ATS)
顧名思義�,這種情況不需要針對某一個域名或者站點做特殊處理��,只要服務器的https符合ATS規格就可以了
2.Mix & Match(混合)
這種類型主要某些第三方的請求不支持https或者支持的https不符合ATS的情況:
2.1 在info.plist中添加這個配置項后�����,ATS當與這個子域交互的時候撤銷了必須使用HTTPS的要求(以友盟為例)
2.2 當你請求的第三方服務器支持了https���,但是不符合ATS規格,例如SSL版本低于1.2或者FS加密不符合要求的時候��,可以做如下配置:
2.3 NSIncludesSubdomains 關鍵字告訴 App Transport Security 這個“例外”(Exception)適用于這個特定域名的所有子域���。這個“例外”(Exception)還進一步通過擴展可接受的密碼列表來定義這個域名可以使用不支持forward secrecy( NSExceptionRequiresForwardSecrecy ) 協議的密碼�����。想了解更多關于forward secrecy的信息�����,推薦去看官方文檔 Apple's tech note
3. Opt Out(禁用ATS)
這個也是目前做法最廣泛的一種方式����,把默認的請求的請求方式變成不安全的http,方法上面已經說過了��。
4. Opt Out With Exceptions(除特殊情況外�,都不使用ATS)
當你的應用撤消了App Transport Security,,但同時定義了一些“例外”(Exception)����,指定了一個或多個“例外”(Exception)來表明哪些是必須要求 App Transport Security的。
