iOS 9之适配ATS

本文为投稿文章,作者:liuchungui(博客)


iOS 9系统已经出来了,而网络方面的ATS(App Transport Security)特性可以说每个人都要经历。而我这篇博客,就是结合我最近几天的经历,来谈谈从服务器到iOS客户端对ATS的适配。

一、简单谈谈ATS(App Transport Security)

ATS(App Transport Security)是为了提高App与服务器之间安全传输数据一个特性,这个特性从iOS9和OSX10.11开始出现,它默认需要满足以下几个条件:

  • 服务器TLS版本至少是1.2版本

  • 连接加密只允许几种先进的加密

  • 证书必须使用SHA256或者更好的哈希算法进行签名,要么是2048位或者更长的RSA密钥,要么就是256位或更长的ECC密钥。

如果想了解哪几种先进的加密是被允许的,详情请见官方文档App Transport Security Technote

二、搭建HTTPS服务器

搭建HTTPS服务器有两种方式,一种是创建证书请求,然后到权威机构认证,随之配置到服务器;另外一种是自建证书,然后配置给服务器。第一种方式搭建的HTTPS服务器当然是最优的了,建立网站的话,直接就会被信任,而作为移动端app的服务器时,也不需要为ATS做过多的适配。虽然说权威的机构认证都是需要钱的,但是如今也不乏存在免费的第三方认证机构;第二种方式搭建的HTTPS服务器,对于网站来说完全不可行,用户打开时直接弹出一个警告提醒,说这是一个不受信任的网站,让用户是否继续,体验很差,而且让用户感觉网站不安全。对于移动端来说,在iOS9出现之前,这个没什么问题,但是在iOS9出来之后,第二种方式是通不过ATS特性,需要将NSAllowsArbitraryLoads设置为YES才行。所以,我推荐使用第一种方式搭建HTTPS服务器。

下面,咱们来说说这两种方式都如何进行操作。

第一种、使用CA机构认证的证书搭建HTTPS服务器

1、创建证书请求,并提交给CA机构认证

1
2
3
4
5
6
#生成私钥
openssl genrsa -des3 -out private.key 2048
#生成服务器的私钥,去除密钥口令 
openssl rsa - in  private.key -out server.key
#生成证书请求
openssl req - new  -key private.key -out server.csr

将生成server.csr提交给CA机构,CA机构对它进行签名之后,然后会生成签名后的根证书和服务器证书发送给你,这个时候的证书就是CA认证之后的证书。我们这里将根证书和服务器证书分别改名为ca.crt和serve.crt。

2、配置Apache服务器 

将ca.crt、server.key、server.crt上传到阿里云服务器,使用SSH登陆进入这三个文件的目录,执行下面命令

1
2
3
4
5
mkdir ssl
cp server.crt /alidata/server/httpd/conf/ssl/server.crt
cp server.key /alidata/server/httpd/conf/ssl/server.key
cp demoCA/cacert.pem /alidata/server/httpd/conf/ssl/ca.crt
cp -r ssl /alidata/server/httpd/conf/

编辑/alidata/server/httpd/conf/extra/httpd-ssl.conf文件,找到SSLCertificateFile、SSLCertificateKeyFile、SSLCACertificatePath、SSLCACertificateFile进行修改:

1
2
3
4
5
6
7
8
# 指定服务器证书位置
SSLCertificateFile  "/alidata/server/httpd/conf/ssl/server.crt"
# 指定服务器证书key位置
SSLCertificateKeyFile  "/alidata/server/httpd/conf/ssl/server.key"
# 证书目录
SSLCACertificatePath  "/alidata/server/httpd/conf/ssl"
# 根证书位置
SSLCACertificateFile  "/alidata/server/httpd/conf/ssl/ca.crt"

修改vhost配置vim /alidata/server/httpd/conf/vhosts/phpwind.conf

1
2
3
4
5
6
         SSLCertificateFile    /alidata/server/httpd/conf/ssl/server.crt
         SSLCertificateKeyFile /alidata/server/httpd/conf/ssl/server.key
         SSLCACertificatePath /alidata/server/httpd/conf/ssl
         SSLCACertificateFile /alidata/server/httpd/conf/ssl/ca.crt
         ServerName www.casetree.cn
         DocumentRoot /alidata/www

最后,重启Apache服务器,在浏览器输入网址查看是否配置成功。我这里是个人使用,申请的是免费的证书,我申请证书的网站是沃通。

搭建的成果:https://www.casetree.cn

第二种、自建证书配置HTTPS服务器

请查看我的上一篇自建证书配置HTTPS服务器

三、使用nscurl对服务器进行检测

搭建完HTTPS服务器之后,可以使用nscurl命令来进行检测,查看建立的HTTPS服务器是否能通过ATS特性。

1
nscurl --ats-diagnostics --verbose https: //casetree.cn

如果HTTPS服务器能通过ATS特性,则上面所有测试案例都是PASS;如果某一项的Reuslt是FAIL,就找到ATS Dictionary来查看,就能知道HTTPS服务器不满足ATS哪个条件。 这里我前面碰到一个问题,就是自建证书的时候,通过此命令进行测试时,发现Result全是FAIL,而且在iOS的代码测试中也出现了一个很奇怪的现象,就是相同的代码,在iOS8.4请求数据完全正常,但是在iOS9上,直接是连接失败。最终发现,其实就是因为自建证书不受信任,是通不过ATS的,除非将NSAllowsArbitraryLoads设置为YES。

四、iOS客户端

在上面的第二大步骤当中,HTTPS服务器满足ATS默认的条件,而且SSL证书是通过权威的CA机构认证过的,那么我们在使用Xcode7开发的时候,对网络的适配什么都不用做,我们也能正常与服务器通信。但是,当我们对安全性有更高的要求时或者我们自建证书时,我们需要本地导入证书来进行验证。

那么,如何本地导入证书进行验证呢? 

在这里先提一下,由于iOS客户端支持的证书是DER格式的,我们需要创建客户端证书。创建客户端证书,直接将服务端的CA根证书导出成DER格式就行。

1
openssl  x509  -inform PEM  -outform DER - in  ca.crt -out ca.cer

导入完证书之后,我们分别来说说使用NSURLSession和AFNetworking来进行本地验证。

首先,来说说使用NSURLSession验证

验证步骤如下: 

  • 导入CA根证书到工程中,即我们创建的ca.cer 

  • 获取trust object,通过SecCertificateCreateWithData方法读取导入的证书的数据生成一个证书对象,然后通过SecTrustSetAnchorCertificates 设置这个证书为trust object的信任根证书(trusted anchor)

  • 通过SecTrustEvaluate方法去验证trust object 

下面是主要OC实现代码,Demo工程我也放在github上了,有OC和Swift两种语言,下载Demo请点击HTTPSConnectDemo。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
- (void)viewDidLoad {
     [ super  viewDidLoad];
     //导入客户端证书
     NSString *cerPath = [[NSBundle mainBundle] pathForResource:@ "ca"  ofType:@ "cer" ];
     NSData *data = [NSData dataWithContentsOfFile:cerPath];
     SecCertificateRef certificate = SecCertificateCreateWithData(NULL, (__bridge CFDataRef) data);
     self.trustedCerArr = @[(__bridge_transfer id)certificate];
     //发送请求
     NSURL *testURL = [NSURL URLWithString:@ "https://casetree.cn/web/test/demo.php" ];
     NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] delegate:self delegateQueue:[NSOperationQueue mainQueue]];
     NSURLSessionDataTask *task = [session dataTaskWithRequest:[NSURLRequest requestWithURL:testURL]];
     [task resume];
     // Do any additional setup after loading the view, typically from a nib.
}
 
#pragma mark - NSURLSessionDelegate
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
  completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler{
  
     OSStatus err;
     NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
     SecTrustResultType  trustResult = kSecTrustResultInvalid;
     NSURLCredential *credential = nil;
     
     //获取服务器的trust object
     SecTrustRef serverTrust = challenge.protectionSpace.serverTrust;
     //将读取的证书设置为serverTrust的根证书
     err = SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)self.trustedCerArr);
     
     if (err == noErr){
         //通过本地导入的证书来验证服务器的证书是否可信,如果将SecTrustSetAnchorCertificatesOnly设置为NO,则只要通过本地或者系统证书链任何一方认证就行
         err = SecTrustEvaluate(serverTrust, &trustResult);
     }
     
     if  (err == errSecSuccess && (trustResult == kSecTrustResultProceed || trustResult == kSecTrustResultUnspecified)){
         //认证成功,则创建一个凭证返回给服务器
         disposition = NSURLSessionAuthChallengeUseCredential;
         credential = [NSURLCredential credentialForTrust:serverTrust];
     }
     else {
         disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
     }
     
     //回调凭证,传递给服务器
     if (completionHandler){
         completionHandler(disposition, credential);
     }
}

注意: 

1、SecTrustSetAnchorCertificates方法会设置一个标示去屏蔽trust object对其它根证书的信任;如果你也想信任系统默认的根证书,请调用SecTrustSetAnchorCertificatesOnly方法,清空这个标示(设置为NO) 2、验证的方法不仅仅只有这一种,更多的验证方法,请参考HTTPS Server Trust Evaluation

下面,来谈谈AFNetworking是如何验证的,我们如何使用AFNetworking。

AFNetworking的证书验证工作是由AFSecurityPolicy来完成的,所以这里我们主要来了解一下AFSecurityPolicy。注意:我这里使用的是AFNetworking2.6.0,它跟2.5.0是有区别的。

说到AFSecurityPolicy,我们必须要提到它三个重要的属性,如下:

1
2
3
@property (readonly, nonatomic, assign) AFSSLPinningMode SSLPinningMode;
@property (nonatomic, assign) BOOL allowInvalidCertificates;
@property (nonatomic, assign) BOOL validatesDomainName;

SSLPingMode是最重要的属性,它标明了AFSecurityPolicy是以何种方式来验证。它是一个枚举类型,这个枚举类型有三个值,分别是AFSSLPinningModeNone、AFSSLPinningModePublicKey、AFSSLPinningModeCertificate。其中,AFSSLPinningModeNone代表了AFSecurityPolicy不做更严格的验证,只要是系统信任的证书就可以通过验证,不过,它受到allowInvalidCertificates和validatesDomainName的影响;AFSSLPinningModePublicKey是通过比较证书当中公钥(PublicKey)部分来进行验证,通过SecTrustCopyPublicKey方法获取本地证书和服务器证书,然后进行比较,如果有一个相同,则通过验证,此方式主要适用于自建证书搭建的HTTPS服务器和需要较高安全要求的验证;AFSSLPinningModeCertificate则是直接将本地的证书设置为信任的根证书,然后来进行判断,并且比较本地证书的内容和服务器证书内容是否相同,来进行二次判断,此方式适用于较高安全要求的验证。 

allowInvalidCertificates属性代表是否允许不信任的证书通过验证,默认为NO。

validatesDomainName属性代表是否验证主机名,默认为YES。

接下来,我们说下验证流程。验证流程主要放在AFSecurityPolicy的- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain方法当中。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
                   forDomain:(NSString *)domain
{
     //当使用自建证书验证域名时,需要使用AFSSLPinningModePublicKey或者AFSSLPinningModeCertificate
     if  (domain && self.allowInvalidCertificates && self.validatesDomainName && (self.SSLPinningMode == AFSSLPinningModeNone || [self.pinnedCertificates count] == 0)) {
         NSLog(@ "In order to validate a domain name for self signed certificates, you MUST use pinning." );
         return  NO;
     }
     
     NSMutableArray *policies = [NSMutableArray array];
     //需要验证域名时,需要添加一个验证域名的策略
     if  (self.validatesDomainName) {
         [policies addObject:(__bridge_transfer id)SecPolicyCreateSSL( true , (__bridge CFStringRef)domain)];
     else  {
         [policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];
     }
     
     //设置验证的策略,可以是多个
     SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);
     //SSLPinningMode为AFSSLPinningModeNone时,allowInvalidCertificates为YES,则代表服务器任何证书都能验证通过;如果它为NO,则需要判断此服务器证书是否是系统信任的证书
     if  (self.SSLPinningMode == AFSSLPinningModeNone) {
         if  (self.allowInvalidCertificates || AFServerTrustIsValid(serverTrust)){
             return  YES;
         else  {
             return  NO;
         }
     else  if  (!AFServerTrustIsValid(serverTrust) && !self.allowInvalidCertificates) {
         return  NO;
     }
     
     //获取服务器证书的内容
     NSArray *serverCertificates = AFCertificateTrustChainForServerTrust(serverTrust);
     switch  (self.SSLPinningMode) {
         case  AFSSLPinningModeNone:
         default :
             return  NO;
         case  AFSSLPinningModeCertificate: {
             //AFSSLPinningModeCertificate是直接将本地的证书设置为信任的根证书,然后来进行判断,并且比较本地证书的内容和服务器证书内容是否相同,如果有一个相同则返回YES
             
             NSMutableArray *pinnedCertificates = [NSMutableArray array];
             for  (NSData *certificateData  in  self.pinnedCertificates) {
                 [pinnedCertificates addObject:(__bridge_transfer id)SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certificateData)];
             }
             //设置本地的证书为根证书
             SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)pinnedCertificates);
             
             //通过本地的证书来判断服务器证书是否可信,不可信,则验证不通过
             if  (!AFServerTrustIsValid(serverTrust)) {
                 return  NO;
             }
             
             //判断本地证书和服务器证书的内容是否相同
             NSUInteger trustedCertificateCount = 0;
             for  (NSData *trustChainCertificate  in  serverCertificates) {
                 if  ([self.pinnedCertificates containsObject:trustChainCertificate]) {
                     trustedCertificateCount++;
                 }
             }
             return  trustedCertificateCount > 0;
         }
         case  AFSSLPinningModePublicKey: {
             //AFSSLPinningModePublicKey是通过比较证书当中公钥(PublicKey)部分来进行验证,通过SecTrustCopyPublicKey方法获取本地证书和服务器证书,然后进行比较,如果有一个相同,则通过验证
             NSUInteger trustedPublicKeyCount = 0;
             NSArray *publicKeys = AFPublicKeyTrustChainForServerTrust(serverTrust);
             //判断服务器证书的公钥与本地的证书公钥是否相同,相同则客户端认证通过
             for  (id trustChainPublicKey  in  publicKeys) {
                 for  (id pinnedPublicKey  in  self.pinnedPublicKeys) {
                     if  (AFSecKeyIsEqualToKey((__bridge SecKeyRef)trustChainPublicKey, (__bridge SecKeyRef)pinnedPublicKey)) {
                         trustedPublicKeyCount += 1;
                     }
                 }
             }
             return  trustedPublicKeyCount > 0;
         }
     }
     return  NO;
}

说了验证流程,我们最后来看看AFNetworking怎么使用,代码如下:

1
2
3
4
5
6
7
  _httpClient = [[BGAFHTTPClient alloc] initWithBaseURL:[NSURL URLWithString:baseURL]];
  AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
  //是否允许CA不信任的证书通过
policy.allowInvalidCertificates = YES;
//是否验证主机名
policy.validatesDomainName = YES;
_httpClient.securityPolicy = policy;

这里我就没有建立Demo了,如果要看的话,可以看看我写的一个框架BGNetwork,里面的Demo对ATS进行了适配,AFNetworking的使用放在BGNetworkConnector类里面的- (instancetype)initWithBaseURL:(NSString *)baseURL delegate:(id)delegate初始化方法中。

五、适配ATS

前面的内容讲述都是满足ATS特性的情况,但若是服务器是自建证书搭建的,或者TLS版本是1.0的话,服务器又不能轻易改动,那么我们客户端如何适配呢? 不急,我们可以在工程中的Info.plist文件当中进行设置,主要参照下图:

iOS 9之适配ATS_第1张图片

  • 如果是自建证书,没有经过权威机构认证的证书,那么需要将NSAllowsArbitraryLoads设置为YES才能通过。NSAllowsArbitraryLoads为YES,以前的HTTP请求也能通过。

  • 如果是认证过的证书,那么可以通过nscurl --ats-diagnostics --verbose https://casetree.cn这样的命令来查看服务器支持的ATS Dictionary,然后进行对应的设置。

适配的部分,也可以参照Demo1_iOS9网络适配_ATS:改用更安全的HTTPS

总结

回顾前面的内容,总结一下,主要讲了一下几点内容:

  • ATS需要满足的条件 

  • 如何建立证书,搭建HTTPS服务器 

  • 使用nscurl命令来检测HTTPS服务器是否满足ATS特性 

  • 客户端的适配,讲述了NSURLSession和AFNetworking的使用 

  • 讲述了如果建立的服务器不满足ATS的条件时,我们如何适配

参考

  • App Transport Security Technote 

  • HTTPS Server Trust Evaluation 

  • 打造安全的App!iOS安全系列之 HTTPS 

  • AFNetworking源码解析<三>

你可能感兴趣的:(iphone开发)