最近一直做项目的ATS改造,期间遇到了种种问题,各种坑都记录下来,
比如iOS版本、afnetwork版本、证书(是否为自签证书)、域名验证、TLS版本等等,我们项目更复杂,还使用了域名到IP映射的路由表策略,在验证自签证书的时候各种配置host,这种需求在文章里就不赘述了,有相似需求的可以私下讨论:
有描述不对的地方,欢迎大神指正!
先鬼扯点儿小背景,不喜请略过黄色部分:)
关于ATS,简单说就是app使用的网络请求都必须走https,iOS9以后,此设置默认开启,项目中所有的http请求直接被系统block了,
当然会有一些例外,可以在info.plist配置第三方域名时使用,如下:
-
NSAllowsArbitraryLoads 设置app禁用ATS,将在2017年1月1日后要求不能禁用 -
NSAllowsArbitraryLoadsInMedia 可以使用AVFoundation播放音视频不使用https -
NSAllowsArbitraryLoadsInWebContent 可以在内置浏览器(WKWebView、UIWebView)中使用普通http请求 -
NSExceptionAllowsInsecureHTTPLoads 可以设置域名使用http请求或者没有证书、使用自签证书、证书过期、证书不匹配等等不安全请求 -
NSExceptionMinimumTLSVersion 可以设置一些https服务协商的TLS版本低于1.2
具体的配置可以参考官方文档:
https://developer.apple.com/library/content/documentation/General/Reference/InfoPlistKeyReference/Articles/CocoaKeys.html#//apple_ref/doc/uid/TP40009251-SW58
按照苹果官方的说法,对证书、域名、IP都有严格的要求,这些在配置服务器证书时都要注意
比如证书:
The X.509 digital server certificate must meet at least one of the following trust requirements:
-
Issued by a certificate authority (CA) whose root certificate is incorporated into the operating system
-
Issued by a trusted root CA and installed by the user or a system administrator
即要求证书要么是正规CA颁发机构颁发的,根证书集成在系统中;要么是被用户手动安装到系统中。而且证书必须得是至少使用SHA-256加密算法
其次,TLS version must be TLS 1.2
加密方式也有要求:AES-128 or AES-256 等等等等
关于ATS的限制范围,苹果是这么说的:
ATS 只适用于host name,对下列情况不会限制:
-
IP地址(关于这一点,苹果系统在iOS9和10表现不一致,启用ATS后,在iOS10上,使用IP地址是不被限制的,但是在iOS9上会被block)
-
非法host names(有谁知道什么是非法的么?)
-
本地服务,如local域名
如果使用上述说的非法host name 或者本地服务,请设置NSAllowsLocalNetworking key to YES.
进入正题,客户端 AFNetwork适配:
关于网络层,大部分app都是用了AFNetwork作为依赖库实现,这里就从AFNetwork开始:
其实改造https的时候可以先不用启用ATS,改造完以后再启用就行。
AFNetwork针对https封装了证书、域名验证的逻辑,主要集中在AFSecurityPolicy,先从最简单的说,
正规CA证书:
如果使用的CA证书是从正规机构购买,那么配置就比较简单:
使用以上设置,就完成了https 功能的支持。
关于配置项,AFSecurityPolicy使用默认的安全策略,不允许非法证书(一般是自签证书),强制要求验证域名,
当然这些设置也是默认设置,直接省略后两行代码也可。
自签证书:
如果使用自签证书,就需要走第二套方案:(让用户把证书安装到手机这招就算了,可行性几乎为0,除非你的app跟12306一样牛逼)
首先需要把证书cer文件导入到app中,剩下的工作,AFNetwork会帮你搞定,它会自动扫描bundle中的cer文件,并制作证书信任锚点,
比CA证书多一步导入文件,即可
下面简单聊聊AFNetwork 的验证机制吧
关于这一点,我在看AFNetwork源码时有个疑问,它在扫描bundle时用的[NSBundle bundleForClass:[self class]],
而不是用的[NSBundle mainBundle],我在测试过程中遇到过一次前者返回的bundle为AFNetwork的bundle,所以读取不到cer文件,这样的话引入到工程中的cer文件肯定扫描不到吧。。。,有很多导入cer文件时手动读取的方式:如下:
//创建证书data
NSData*certData =[NSData dataWithContentsOfFile:[[NSBundle mainBundle] pathForResource:@"HTTPS" ofType:@"cer"]];
SecCertificateRef rootcert = SecCertificateCreateWithData(kCFAllocatorDefault,CFBridgingRetain(certData));
const void *array[1] = { rootcert };
certs = CFArrayCreate(NULL, array, 1, &kCFTypeArrayCallBacks);
anyway,无论是AFNetwork自动扫描还是手动导入,最终目的都是验证证书
AFNetwork其实也是使用系统验证证书链的方式,首先将服务器返回的证书信息添加到验证策略:
然后使用系统方式验证证书链:
以上就通过了证书验证,接下来还有进行域名验证,
以上主要是将app中的证书和域名进行验证