苹果ATS对SSL/TLS的安全检测要求

最新推荐文章于 2020-07-29 11:47:30 发布
最新推荐文章于 2020-07-29 11:47:30 发布
阅读量790 收藏 1
点赞数
文章标签: 运维 java 操作系统
原文链接:https://segmentfault.com/a/1190000012783205
版权

原文阅读:苹果ATS对SSL/TLS的安全检测要求

苹果(Apple)公司一向有着对安全性要求极高的著称,如果你申请了SSL证书并且部署到服务器中,但这并不意味SSL部署符合Apple ATS的检测要求,Apple对证书算法、有效期、加密套件、SSL安全漏洞都有极严格的要求。

Apple ATS全App Transport Security,即ATS,是苹果公司在iOS 9和Mac OS X 10.11(El Capitan)中推出的一个新的安全标准。总的来说满足前向安全性(Forward Secrecy)加密技术、服务器使用最新的TLS1.2安全协议、SHA256以上的证书签名算法三个要点即可,

使用在线工具可检查结果:https://infinisign.com/tools/sslcheck/?lang=cn

apple ats scan res

证书基本要求

服务器配置项

  • 开启服务器SSL/TLS要求的端口例如443,8443等并助部署支持https协议
  • 支持TLS1.0, TLS1.1, TLS1.2,禁用SSL3.0和SSL2.0
  • 支持前向安全性
  • iOS 密码套件支持
    RSA算法要求使用以下加密套件:
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    DSA算法要求使用以下加密套件:
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

重要配置项检查 

Apache配置项

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

Nginx配置项

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

Tomcat要求环境 tomcat7+和JDK1.7+,配置参考如下:

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="keystore/domain.jks" keystorePass="证书密码"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
SSL_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Windows IIS

IIS要求环境 windows server 2008 R2/IIS 7+ 以上版本,详细设置参考:Windows服务器IIS配置符合苹果ATS方法

参考资料

weixin_33946605
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ATS】Accessory Test System-苹果传输数据ATS认证究竟是什么?
天天的博客
02-28 1900
ATS旨在分析通过UART、USB和蓝牙传输传输的iAP流量、通过USB和无线(蓝牙和Wi-Fi)传输的CarPlay流量、通过Wi-Fi传输的AirPlay 2流量以及闪电音频流量。ATS是的意思,即苹果公司附件测试系统的配置和使用情况。一套用于诊断和调试附件的硬件层和iAP协议性能的实时工具。一套自动验证工具,用于确保新配件更完全符合MFi规范。各种连接MFi的各种硬件配件。
SSL/TLS 检测工具以及 tomcat 正向密配置例子
01-12
本资源包含一个 openssl 工具安装包 Win32OpenSSL-...关于tomcat 进行配置 ssl 证书、完全 TLS v1.2、完全正向密的具体步骤可以参考博客《为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向密及其结果检验》,地址:...
ATS(Apache Traffic Server 4.2)配置SSL
懒人窝
03-31 4429
截止到现在,我们的网站使用 ATS 已经有2年多的时间了,ATS能够非常高效的解决我们的问题,赞一个。 由于网站增了https的访问,原以为配置SSL应该挺简单,后来才知道,英文水平太菜,导致走了很多弯路。 下面列一下我配置的步骤: 系统:CentOS ATS:4.2版本 一、修改 records.config: # 开放 443 端口访问 CONFIG proxy.confi
不使用ATS Lighting Box,也能抓CarPlay和iAP数据
Aero's WorkSpace.
07-17 1673
今天收到朋友的询问,他想买一个ATS Lighting Box。然而问清楚之后,我让他不要花这笔钱。 平常开发不需要Lighting Box 1.单纯抓数不需 Lighting Box只是苹果用来测量电源性能的,也就是测试电压和电流,和数据抓取没有任何关系。 那么什么时候要这个盒子呢? 只有在线测试的时候需要这个盒子,来检查USB的供电性能。通过这个盒子,可以拿到USB的电压是否在标准范围内,比如低于4.75V。这时候ATS报错说电压不符合标准。 2.Lighting Box非常容易损坏 Lighti
SSL ATS 不合规
陈熙之的博客
07-29 3220
公司弄的一个微信小程序,前端开发说ATS不合规,证书是在阿里上面申请的一个免费证书,在https://myssl.com/这里进行https安全评估。 在网上查了下,大致意思就是,ATS苹果提出的标准,PCI DSS 是支付标准,没有支付不考虑PCI DSS ,保证ATS通过就好了,免得IOS不支持。方法就是修改注册表,PCT 1.0 、SSL 2.0、TLS 1.0 这些该禁用的禁用,该开启的开启。一大堆,人都不好了,还好后面找到一个小工具,IISCrypto.exe,81.6KB,打开看看吧..
炬力ATS2823/ATS2825蓝牙模块固件开发资料
09-17
炬力ATS2823/ATS2825蓝牙模块固件开发资料,包含源代码及开发教程,需要自行搭建Cygwin环境进行开发。。。。。。。。。。。。。。。
苹果ATS和微信小程序搭建 Nginx + HTTPS 服务
03-29
昨天测试开发微信小程序,才发现微信也要求用HTTPS密数据,想来是由于之前苹果ATS审核政策的缘故吧,微信想在苹果上开放小程序必然也只能要求开发者必须使用HTTPS了,于是在服务器上测试安装Nginx+HTTPS服务。...
https简单自签记录,苹果ATS检测通过.log
10-16
openssl做https证书自签名,测试过了腾讯的ats检测 测试地址https://cloud.tencent.com/product/ssl#userDefined10
ATS苹果头的尺寸要求.xls
09-19
ATS苹果头的尺寸要求.xls
苹果MFI认证的ATS工具说明
03-21
苹果MFI认证的ATS工具安装指引说明,支持两种盒子,ats 30-pin box和ats lightning box
ATS9350英文资料
08-14
数据采集卡ATS9350英文说明书,主要介绍ats9350的优点以及时序图,在编写控制程序或是选择采集卡样式时可供参考。
ATS-2 说明书 音频ap测试工具
11-13
ATS-2 说明书 pDF,官方资料,来自正版拷贝!直得下载和传阅!
ATS 测试工具
05-02
ATS 是一款用JAVA代码编写的,用来对各种软件程序进行测试的框架.主要用来编辑测试项目,管理测试项目.也可以作为自动化办公软件,编写脚本自动处理既定的工作.
mfi 芯片资料 ipod 认证协议
04-27
ios 认证 芯片 mfi 详细 spec 认证协议 accessory_protocol_interface_spec_r38
PCI DSS不合规的处理方法
戴翔的技术博客
02-11 6735
SSL证书部署到网站之后,我们常常使用检测工具对网站进行检测与评级,MySSL就是一个比较知名的检测网站,其是由亚洲诚信( TrustAsia )提供证书支持和技术支持的网站。 通常,使用MySSL进行检测时后出现如下图所示的检测概述,显示 PCI DSS不合规 。 PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业...
为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向密及其结果检验
热门推荐
Defonds 的专栏
01-12 1万+
2017 年起 app store 要求 app 对接的服务器支持 TLS v1.2,否则 ats 检测不予通过。有点强制推 TLS v1.2 的意味。本文介绍如何使 tomcat 强制执行 TLS v1.2、完全正向密。本文示例 tomcat 版本 7.0.68,jdk 版本 1.7.0。笔者强烈推荐在 DNS 解析层或反向代理服务层做这件事情,不建议放在 tomcat 这一层做。如果你非要在
ATS连接 https
weixin_30590285的博客
11-01 114
HTTPS协议是Http Over SSL,简单来说就是HTTP的安全版本,在HTTP的基础上增SSL/TLS密传输协议,通过HTTPS密传输和身份认证保证了传输过程的安全性。在登录网银和电子邮箱时,你常常看到地址栏的网址显示HTTPS前缀,从而轻松判断这个网页是否采用了HTTPS密连接。但是在移动应用上,网络连接的安全性就没有那么透明了,用户很难知道App连接网络时使用的是HTTP还是...
查看https是否支持ATS
z69183787的专栏
09-13 1507
nscurl --ats-diagnostics --verbose https://我的域名
java cxf <xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:tns="http://service.dict.ats.com/" elementFormDefault="unqualified" targetNamespace="http://service.dict.ats.com/" version="1.0"> 将unqualified修改为qualified
最新发布
05-27
另外,如果您使用了XML实例文档,也需要对其进行相应的修改,确保与修改后的元素定义相符。下面是一个使用qualified元素的例子: ``` <xs:schema xmlns:xs="http://...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值