对于标题的答案,通过咨询苹果的技术客服,答案是否定的。在2016年的WWDC大会上,提到了https,并标明了使用的态度,但是强制使用的deadline,苹果官方没有具体给出;官方技术的答案是:强制的deadline将会在官网上公布,网上流传的2017年1月1日属于谣言,具体的通知请关注苹果开发者官网。
苹果公司今年推出iOS9系统,为了提升应用程序与Web服务之间的连接安全,苹果要求所有应用程序的HTTP协议全部升级为HTTPS协议。由于iOS平台的封闭性,遭遇到的安全问题相比于Android来说要少得多,这就导致了许多iOS开发人员对于安全性方面没有太多的深入,但苹果公司强调每个开发者都应该致力于保证客户的数据的安全。在今年的WWDC大会上,苹果公司明确表示将以身作则,在iOS9中内置App Transport Security(简称ATS)功能,通过该新特性来提高操作系统的安全性。
什么是ATS功能?
ATS是iOS9和OS X El Capitan的一个新特性。开启该功能后,ATS对使用NSURLConnection, CFURL或NSURLSession 等APIs 进行的网络请求默认强制使用HTTPS加密传输,目标是提高Apple 操作系统以及应用程序的安全性。苹果公司官方文章指出,https必须符合ATS要求,服务器必须支持传输层安全(TLS)协议1.2以上版本;证书必须使用SHA256或更高的哈希算法签名,并使用2048位以上RSA密钥或256位以上ECC算法等等。
为什么要升级https?
目前常用的http是明文协议,任何通过该协议传输的数据都以明文的方式在网络中“裸奔”,任何信息数据都处在的窃听、篡改、冒充这三大风险之中,而SSL/TLS协议就是为了解决这三大风险而设计的。HTTPS就是http+SSL,简单地说就是在http明文协议的基础上开启一条SSL加密通道,让原本明文“裸奔”的数据,从加密通道中密文传输,保证了数据传输的安全性,服务器安装SSL证书,就可以激活SSL加密通道,实现https加密传输。当前日益复杂脆弱的网络难以保证用户的数据安全,因此苹果才在iOS9上强推ATS,反向逼迫服务器升级HTTPS的配置,已提供更安全的网络环境。建议开发者不要简单地禁用ATS,而应该升级服务器的配置支持ATS,为用户提供更安全的服务。
自签SSL证书行不行?
自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。在应用服务中采用自签SSL证书,苹果系统会自动报错,提示“此根证书不被信任”,可能让中间人乘虚攻击,更让用户对产品产生疑虑,降低产品信誉。
沃通SSL证书助您快速升级https
APP应用按ATS要求升级为HTTPS其实并不复杂,成本也不高。沃通SSL证书提供从低端到高端4款SSL证书产品,可满足任何移动开发者的https升级需求和成本预算。您只需到沃通数字证书商店(buy.wosign.com)下单购买所需的SSL证书,提交相关验证材料,马上就可以获取符合ATS要求的SSL证书。沃通本地化客服团队帮助您快速部署应用,为您提供7×24小时服务随时响应突发问题,让您快捷、安心地升级https协议,牢牢抓住iOS9的市场和用户。
关于沃通
沃通CA(www.wosign.com)是全球信任的权威数字证书颁发机构(CA机构)及互联网安全应用服务提供商,提供全球信任的SSL证书、代码签名证书、客户端证书等全线数字证书产品,及基于PKI技术的相关应用服务。沃通WoSign十年历练,用户认可,安全可控!通过严格的WebTrust国际认证,并通过了微软认证、Mozilla 认证、Android 认证、苹果认证和Adobe认证,根证书预置到全球所有PC和移动终端中,支持所有浏览器和移动终端!
82
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
