iOS HPPTS证书验证

最新推荐文章于 2021-08-09 15:44:04 发布
置顶 最新推荐文章于 2021-08-09 15:44:04 发布
阅读量9.2k 收藏 1
点赞数 2
分类专栏: iOS 文章标签: HTTPS iOS ssl 证书 tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myzlhh/article/details/50255805
版权
本文详细介绍了iOS中HTTPS证书验证的问题,包括ATS(App Transport Security)在iOS9及以后版本的要求,如何处理ATS导致的连接错误,以及如何自定义证书验证过程,特别是对于非CA机构颁发的证书的处理。内容涵盖了ATS的开启与关闭,NSExceptionDomains的使用,以及自定义验证过程中涉及的NSURLAuthenticationChallenge和SecTrustEvaluate方法。
摘要由CSDN通过智能技术生成

0x00 问题引出

   调用NSURLConnection实现HTTPS访问时,如果服务器证书是由CA机构颁发的(全球可信的机构,如verisign),连接方式和HTTP并没有区别。代码如下:

 

  
  
  

   
   
   

    
    
      NSString *urlStr = @"https://yourURL";
   
   
   

   
   
   

    
    
      NSURL *url = [NSURL URLWithString:urlStr];
   
   
   

   
   
   

    
    
      NSURLRequest *request = [[NSURLRequest alloc] initWithURL:url];
   
   
   

   
   
   

    
    
      NSURLConnection *connection = [[NSURLConnection alloc] initWithRequest:request delegate:self];

    系统会帮你建立TLS连接,验证服务器证书(包含是否过期,证书和访问域名是否一致,证书是否为合法机构颁发等),交换对称加密密钥等,几乎不用自己写任何代码。

 

 

0x01 ATS

    但是iOS9有一个新特性ATS(App Transport Security),需要我们注意一下,在测试访问百度时发现报错:

    NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9802)


    错误代码定义详解见文件<Security/SecureTranspot.h>,所有相关的错误代码都定义在这个头文件里面。查阅后发现-9802描述为Fatal alert。常见的还有:-9843(域名和证书不符),-9814(证书链中有过期证书)等。

 

    同样的代码在iOS9以前的系统上就不存在问题,这是因为在iOS9之后,ATS默认打开,然后它要求所有网络请求都为HTTPS,且支持TLS V1.2,对加密方式和证书的签名算法强度均有要求(详情见,iOS  App Transport Security研究)。官方文档是这样描述的:

Certificates must be signed with one of the following types of keys:

  • Secure Hash Algorithm 2 (SHA-2) key with a digest length of at least 256 (that is, SHA-256 or greater)
  • Elliptic-Curve Cryptography (ECC) key with a size of at least 256 bits
  • Rivest-Shamir-Adleman (RSA) key with a length of at least 2048 bits
    An invalid certificate results in a hard failure and no connection.

 

    也就是说不满足条件的证书,ATS都会拒绝连接,百度证书如下图。由于它采用的sha1,不满足要求,因此会报错。

最低0.47元/天 解锁文章
CRMO
关注
专栏目录
ios自己搭建服务器证书,iOS一步一步实现Https自建证书校验
weixin_42462382的博客
07-31 894
oooO ↘┏━┓ ↙ Oooo( 踩)→┃你┃ ←(死 )\ ( →┃√┃ ← ) /_)↗┗━┛ ↖(_/我觉得httpsiOS开发者要踩的最大的一个坑了,每每看他人写的博客都是只讲理论贴代码,却没有一篇是教你一步一步实现,是不是很头大呢。今天来一步一步实现https的正确验证,后面再讲不正确的验证。步骤:1.生成私钥 > 生成签名 > 生成证书(服务器端) > 生成证书(...
Android安全开发之安全使用HTTPS
AliMobileSecurity的博客
10-08 2066
为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。
iOS开发:校验HTTPS网络请求证书(SSL证书和自签名证书)
oメ嘹⑩咋o咧!歡迎來访ー訫隨の飛ー专栏
03-21 2395
title: iOS开发:校验HTTPS网络请求证书(SSL证书和自签名证书) date: 2019-03-14 14:50:28 tags: SSL pinning comments: true categories: iOS技术 前言 SSL pinning在构建一个高度安全的移动APP上扮演了一个十分重要的角色。然而如今好多用户在使用无线移动设备去访问无数不安全的无线网络。 这篇文章主要覆...
iOS网络请求认证挑战
有志者事竟成-程序员也可以创造优雅的艺术
03-23 1862
一、引言 Http请求中认证挑战相关的代理如下: 1.将要发送一个认证挑战的请求 - connection:willSendRequestForAuthenticationChallenge: 2.是否能够对一个保护空间进行认证(已废弃) - connection:canAuthenticateAgainstProtectionSpace: 3.收到一个请求的认证挑战 - c
iOS应用安全之HTTP/HTTPS详解(AFNetworking配套策略)
Deft_MKJing的博客
09-27 3400
目录 HTTP缺点 HTTPS底层原理(SSL握手详解 普通RSA身份验证的隐患 证书SSL握手底层原理 iOS原生方式校验HTTPS 使用AFNetworking来支持HTTPS(组合策略源码分析) HTTPS网站访问输入后整个OSI模型流转过程 前言 这是早期的理解传送门,现在理解更深入点,还是记录下来 HTTPS一般开启之后默认网络请求框架是会给我们做最基本的校验...
模拟iOS发送通知,验证push证书
09-13
本文将深入探讨如何模拟iOS发送通知以及验证push证书的有效性,这对于iOS开发者来说是至关重要的。 首先,我们需要理解苹果的Push Notification Service(简称APNs),这是苹果提供的一个服务,用于向用户的iOS设备...
ssl-kill-switch2:黑盒工具可在iOS和OS X Apps中禁用SSL证书验证-包括证书固定
02-03
SSL Kill Switch 2是一款专为iOS和OS X操作系统设计的黑盒工具,其主要功能是禁用应用程序中的SSL(Secure Socket Layer)证书验证机制,包括对证书固定的支持。这一工具对于开发者、安全研究员以及逆向工程爱好者来...
HBuilderX申请iOS证书在线打包iOS文档.docx
08-28
iOS证书是苹果公司颁布的数字证书,用于验证应用程序的身份和权限。开发者需要申请iOS证书,以便将应用程序发布到App Store。申请iOS证书需要在苹果开发者网站上注册,然后创建证书签名请求(CSR),接着上传证书...
ios证书检测源码.zip
02-12
总之,这个iOS证书检测源码是一个实用的工具,对于那些需要在服务器端处理iOS证书验证的开发者或者系统管理员来说,是一个有价值的资源。它可以简化证书管理,提高安全性,并且能够在多种操作系统环境下无缝运行。
AFNetWorking源码之AFSecurityPolicy
weixin_34393428的博客
04-26 111
1 HTTPS以及SSL/TSL SSL(Secure Sockets Layer, 安全套接字层),因为原先互联网上使用的HTTP协议是明文的,存在很多缺点,比如传输内容会被偷窥和篡改。SSL协议的作用就是在传输层对网络连接进行加密。 到了1999年,SSL 因为应用广泛,已经成为互联网上的事实标准。IETF就在那年把SSL标准化。标准...
iOS 证书、密钥及信任服务
热门推荐
kmyhy的专栏
05-13 3万+
——翻译自Apple Reference《Certificate,Key,and Trust Services Programming Guide》 本章描述并演示了如何使用证书、密钥和信任服务去导入一个indentity,评估证书是否可信,判断证书失效的原因,以及失效证书的恢复。
1202此服务器的证书无效,使用HTTPDNS的IOS SDK时出现“Error Domain=NSURLErrorDomain Code=-1202”报错...
weixin_42510225的博客
07-29 2343
问题描述使用HTTPDNS的IOS SDK时,出现类似如下报错信息。Error Domain=NSURLErrorDomain Code=-1202 "此服务器的证书无效。您可能正在连接到一个伪装成“XX.XX.XX.XX” (IP地址 )的服务器,这会威胁到您的机密信息的安全,或者 NSURLSession/NSURLConnection HTTP load failed (kCFStreamE...
iOS 升级HTTPS通过ATS你所要知道的
cleven
12-05 1815
iOS 升级 HTTPS 通过 ATS 你所要知道的 阅读 1258收藏 1142016-12-3 原文链接:http://www.jianshu.com/p/2d72ef8dbf5a 苹果规定 2017 年 1 月 1 日以后,所有 APP 都要使用 HTTPS 进行网络请求,否则无法上架,本文介绍了一下在 iOS 中使用 HTTPS 请求的实现, 大家可以参考下。 —— 由
ios签名服务器维护,如何从iOS中的白名单接受自签名服务器证书
weixin_42139357的博客
08-09 290
我试图在NSURLConnection中接受自签名证书,正如许多人在我之前所做的那样.问题是,我只想接受我信任的证书白名单中的证书.我决心要弄清楚如何接受单一证书.这是我在NSURLConnectionDelegate中到目前为止所获得的代码:- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticat...
Certificate, Key, and Trust Services Reference
路漫漫其修远兮,吾将上下而求索!
07-31 1884
Certificate, Key, and Trust Services为管理证书、公钥私钥和信任策略提供了C语言接口。
PKCS12 证书的生成及验证
01-10 1485
PKCS12 证书的生成及验证 服务器生成PKCS12证书库,并通过servlet导出为DER客户端证书(含一个密钥和一个证书)。iPhone从服务器下载证书后,如何进行验证? 一、 生成证书 假设密钥库为dlt.p12,库密码ipcc@95598,有效期1天,则命令为: keytool -genkey -v -alias root -keyalg RSA -storetype
Glide加载hppts图片失败的解决办法,亲测有效
hacjy
07-14 6391
Glide加载https图片报错:javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 解决办法:在Application的onCreate中调用方法handleSSLHandshake()...
iOS证书真机调试快速指南
"这篇资源主要介绍了如何在iOS开发中实现免证书真机调试的方法,作者wg689分享了一个简单快捷的步骤,适用于那些不想购买$99证书但需要进行真机调试的情况。该方法无需添加或注册Apple开发者账号,通过几步简单操作...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值