关于iOS9中的App Transport Security相关说明及适配(更新于2016.7.1)

最新推荐文章于 2023-06-24 15:35:48 发布

杰嗒嗒的阿杰

最新推荐文章于 2023-06-24 15:35:48 发布

阅读量302

点赞数

分类专栏：移动开发文章标签： iOS9 ATS HTTPs 适配安全

本文链接：https://blog.csdn.net/vimfung/article/details/83819625

版权

@[toc](关于iOS9中的App Transport Security相关说明及适配(更新于2016.7.1))

修订时间	内容
2016.7.1	根据苹果官方文档的修改做出文档的调整，并加入对诊断ATS的命令行工具nscurl进行说明。
2015.8.19	解决在iOS9下基于ATS对HTTP的请求的说明及适配进行说明

iOS9中新增App Transport Security（简称ATS）特性, 主要使到原来请求的时候用到的HTTP，都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。原文如下：

App Transport Security

App Transport Security (ATS) enforces best practices in the secure connections between an app and its back end. ATS prevents accidental disclosure, provides secure default behavior, and is easy to adopt; it is also on by default in iOS 9 and OS X v10.11. You should adopt ATS as soon as possible, regardless of whether you’re creating a new app or updating an existing one.
If you’re developing a new app, you should use HTTPS exclusively. If you have an existing app, you should use HTTPS as much as you can right now, and create a plan for migrating the rest of your app as soon as possible. In addition, your communication through higher-level APIs needs to be encrypted using TLS version 1.2 with forward secrecy. If you try to make a connection that doesn’t follow this requirement, an error is thrown. If your app needs to make a request to an insecure domain, you have to specify this domain in your app’s Info.plist file

如果我们在iOS9下直接进行HTTP请求是会收到如下错误提示：

App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app’s Info.plist file.

系统会告诉我们不能直接使用HTTP进行请求，需要在Info.plist新增一段用于控制ATS的配置：

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key><true/>
</dict>

也即：
Info.plist

这段配置中的NSAppTransportSecurity是ATS配置的根节点，配置了节点表示告诉系统要走自定义的ATS设置。而NSAllowsAritraryLoads节点则是控制是否禁用ATS特性，设置YES就是禁用ATS功能。

ATS是在iOS 9.0 和 OS X v10.11版本中增加的特性，使用iOS 9.0或者OS X v10.11的SDK版本（或更新的SDK）进行编译应用时会默认启动ATS。则需要对ATS进行配置。如果使用iOS 9.0或者OS X v10.11之前的SDK版本编译的应用默认是禁止ATS的，因此不会影响应用的网络连接方面的功能（即使在iOS 9.0的机子上跑也是不影响的）。

直到前面的配置可以完美的适配iOS9了，但是如果你想遵循苹果给出的标准，让自己的数据更加安全，那么需要继续往下看。

其实ATS并不单单针对HTTP进行了限制，对HTTPS也有一定的要求，以百度的地址为例（注：举该栗子的时候百度是还没符合ATS的要求的，现在百度已经支持ATS），如果在App中请求https://www.baidu.com的话，是会收到如下的错误信息：

NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9802)

查阅了一下官方资料（NSAppTransportSecurity），发现HTTPS的请求需要满足下面的要求：

Requirements for Connecting Using ATS

With ATS fully enabled, your app’s HTTP connections must use HTTPS and must satisfy the following security requirements:

The server certificate must meet at least one of the following trust requirements:

Issued by a certificate authority (CA) whose root certificate is incorporated into the operating system

Issued by a trusted root CA and installed by the user or a system administrator

The negotiated Transport Layer Security version must be TLS 1.2

The negotiated TLS connection cipher suite must support forward secrecy (FS) and be one of the following:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

The leaf server certificate must be signed with one of the following types of keys:

Rivest-Shamir-Adleman (RSA) key with a length of at least 2048 bits

Elliptic-Curve Cryptography (ECC) key with a size of at least 256 bits

In addition, the leaf server certificate hashing algorithm must be Secure Hash Algorithm 2 (SHA-2) with a digest length of at least 256 (that is, SHA-256 or greater).

根据原文描述，首先颁发给服务器证书的证书机构（CA）的根证书必须是内置于操作系统（哪些根证书被信任可以查看iOS 9 中可用的受信任根证书列表，或者在你的机子的设置－通用－关于本机最下面的“进一步了解被信任的证书”中查看）或者受用户或者系统管理员信任并安装到操作系统上的。而且必须要基于TLS 1.2版本协议。再来就是连接的加密方式要提供Forward Secrecy(FS正向保密，感兴趣的筒子可以看看这个SSL/TLS & Perfect Forward Secrecy)，文档中罗列出了支持的加密算法（上面的原文中有说明，我把它独立抽出来放到下面表格中查看）。最后就是证书至少要使用一个SHA256的指纹与任一个2048位或者更高位的RSA密钥，或者是256位或者更高位的ECC密钥。如果不符合其中一项，请求将被中断并返回nil。

支持Forward Secrecy的加密方式

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

我们再来看刚才的百度的地址，用浏览器打开百度的地址，然后点击链接前面的锁图标，如图：

查看百度证书

可以看到它使用了TLS 1.2版本协议，符合上面所说的TLS版本的约定。

然后在点击证书信息，查看颁发给它证书的CA的根证书，如图：

百度证书

可以看到它的根证书名称是：VeriSign Class 3 Public Primary Certification Authority - G5,根据这个名字在之前提供URL中去寻找iOS9下受信任的根证书是否有存在该证书，结果是可以找到对应的证书信息的，如下图所示：

信任机构截图

最后回到之前的连接信息面板可以看到使用AES_128_GCM进行加密，并使用ECDHE_RSA作为密钥交换机制的，我们可以在Forward Secrecy的列表中找到对应两条记录：

最低0.47元/天解锁文章

杰嗒嗒的阿杰

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
关于iOS9中的App Transport Security相关说明及适配(更新于2016.7.1)

@[toc](关于iOS9中的App Transport Security相关说明及适配(更新于2016.7.1))修订时间内容2016.7.1根据苹果官方文档的修改做出文档的调整，并加入对诊断ATS的命令行工具nscurl进行说明。2015.8.19解决在iOS9下基于ATS对HTTP的请求的说明及适配进行说明iOS9中新增App Transport Sec...
复制链接

扫一扫