自签名证书适配https

最近项目中,需要使用自签名的 HTTPS 证书实现双向认证。网上的资料很多,但是存在各种各样的问题,与 iOS 版本、ATS 配置 等多方面因素有关。弄好之后先整一份记下来。完整的内容涉及到的内容比较多,还是要全面查阅文档,本文只记录最终的结果,和部分遇到的问题。
  本文中的代码,在 iOS 8.x 和 iOS 9.x 的模拟器中测试通过,iOS 10.x 模拟器和真机中测试通过。

一、背景知识

对于 HTTPS 认证,不管是单向还是双向,在客户端连接到服务端时,会触发客户端的 Authroization Challenge(没找到太合适的翻译,暂且理解为授权质询)回调,在处理 Authroization Challenge 之后,得到两个值:(不知道怎么翻译,随便写下)

  • NSURLSessionAuthChallengeDisposition 处置方式
    • NSURLSessionAuthChallengeUseCredential
      使用指定的凭证,凭证可能为空
    • NSURLSessionAuthChallengePerformDefaultHandling
      忽略凭证,使用默认的质询处理器
    • NSURLSessionAuthChallengeCancelAuthenticationChallenge
      整个请求将被取消; 凭证参数被忽略。
    • NSURLSessionAuthChallengeRejectProtectionSpace
      这个挑战被拒绝,并且应该尝试下一个 Authentication Protection Space;凭证参数被忽略。
  • NSURLCredential * 凭证
    可以根据回调时传入的信息,自己调用相关 API 获取凭证,也可以自己伪造

将得到的两个值,作为回调函数的结果回传给系统,以完成 Authroization Challenge。

以上过程仅是对 iOS 认证过程的分析,不过个人认为,网络模型是一致的,在不同技术中即便在实现细节上有所差异,但总体思路还是大同小异的。

二、服务端认证

对于采用通过 CA 购买的正式证书,只要没有特别要求,手机端不需要对 Authroization Challenge 做任何处理,就可以直接连接。
  如果是自签名证书,就需要做一些处理工作。iOS 8 及其之前的版本比较简单,而且目前 iOS 8 在市面上的保有量已经很少,不做细致讨论。iOS 9+ 之后引入了 ATS,带来的问题比较多所以从代码到配置上都要做相应调整。

1、白名单方式

步骤一(修改配置 Info.plist):
(1)针对域名配置

修改 Info.plist,将要访问的域名配置为 NSExceptionAllowsInsecureHTTPLoads,允许不安全的 HTTP 访问:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>NSAppTransportSecurity</key>
    <dict>
        <key>NSExceptionDomains</key>
        <dict>
            <key>yourdomain.com</key>
            <dict>
                <key>NSIncludesSubdomains</key>
                <true/>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <true/>
            </dict>
        </dict>
    </dict>
</dict>
</plist>

这里对于域名的配置,类似是个白名单的方式,在白名单中的域名,配置为允许不安全的 HTTPS 连接。不安全的证书原因很多,常见的可能是如下原因导致的:

  • 其根证书不被操作系统信任,如:自签证书
  • 证书过期或被吊销
  • 证书域名与实际域名不匹配

配置中的 NSIncludesSubdomains 部分,建议把域名写为顶级域名,然后把 NSIncludesSubdomains 置 为 true包含子域名
  如果是特定的完整域名,如:www.yourdomain.com 则把 NSIncludesSubdomains 置 为 false。后面的说法,几次验证的效果不同。
如果没有特别要求,建议使用第一种做法,写一级域名,然后包含其子域。

(2)最简单粗暴的方法
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>NSAppTransportSecurity</key>
    <dict>
        <key>NSAllowsArbitraryLoads</key>
        <true/>
    </dict>
</dict>
</plist>

这种方式:

  • 允许非安全的 HTTP 请求,iOS 9+ 默认是不允许 HTTP 连接的
  • 对于所有域名都可以使用自签名证书,不再需要逐个指定域名
步骤二(修改代码):

修改代码:

// 安全策略
// 同浏览器行为,以操作系统规则对服务器证书
AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
// 不校验域名,如果需要校验域名,需要采用内置证书的方式
policy.validatesDomainName = NO;
// 允许无效证书
policy.allowInvalidCertificates = YES;

// 为 SessionManager 配置安全策略
AFHTTPSessionManager *mgr = [AFHTTPSessionManager manager];
mgr.securityPolicy = policy;

// 重要!!!设置缓存策略,避免缓存
// AFNetworking 的 GET 方法缓存非常明显,一旦成功一次,后面就会直接使用缓存的结果,即便网络访问失败,也能返回成功数据,会对判断造成误导,所以一定要加上这一句!!!
[mgr.requestSerializer setValue:@"no-cache" forHTTPHeaderField:@"Cache-Control"];
// 发送请求
[mgr GET:...];

重要:
  白名单方式最简单,但是这样做只建立安全连接,但不会对服务端证书做校验,比如:不会校验证书与域名的一致性。这样做的问题是无法防御“中间人攻击”

2、内置证书方式

(1)基本实现

白名单的方案不够安全,更为安全的做法:采用内置证书的方式,将用于校验的证书内置在客户端,不信任除此之外的证书。内置的证书,可以是服务端证书,或者是用于颁发服务端证书的 CA 的证书。具体要看证书具体的签发方式。
  内置的方式,是将证书转为 DER 格式,然后以 .cer 为扩展名,作为资源放到工程中,AFNetworking 就可以自动识别了。
  同时,代码要做如下调整:

// 安全策略
// 改为 AFSSLPinningModeCertificate
AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// 指定验证域名。如果访问的域名与证书域名不一致,则不能通过
// 如果需要做域名校验,必须使用 Pinned 方式。白名单方式,不集成证书,无法校验域名
policy.validatesDomainName = YES;
// 对于自签证书,使用这个选项
policy.allowInvalidCertificates = YES;
// cerData1、cerData2 为 NSData,内容为 DER 格式证书
// 证书可以是 CA 证书,也可以是服务端部署的证书,这一步可选,AFN 可以自动识别
policy.pinnedCertificates = [NSSet setWithObjects:cerData1, cerData2, nil];

// 为 SessionManager 配置安全策略
AFHTTPSessionManager *mgr = [AFHTTPSessionManager manager];
mgr.securityPolicy = policy;

[mgr.requestSerializer setValue:@"no-cache" forHTTPHeaderField:@"Cache-Control"];
// 发送请求
[mgr GET:...];
☆☆☆ 默认校验规则

上面说的两种方式,实际上都是使用了 AFNetworking 的默认校验规则,并且根据默认规则做了个简单实现。其规则是这样的:
AFNetworking 的 AFSecurityPolicy 类有如下方法:

- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain

涉及到三个因素:

  • securityPolicy.allowInvalidCertificates 是否允许无效证书,个人理解这里所说的无效证书,是指类似浏览器校验行为,操作系统不认的证书
  • securityPolicy.validatesDomainName 校验域名
  • securityPolicy.SSLPinningMode PinningMode

表面看来有如下规律:

  • 如果要使用自签名证书,必须指定 allowInvalidCertificates = YES;,否则不能通过;
  • 如果 allowInvalidCertificates == YES 并且 SSLPinningMode == AFSSLPinningModeNone,就是说只校验服务端证书,不管客户端内置证书,并指定为允许无效证书,则可以通过;
  • SSLPinningMode == AFSSLPinningModeCertificate 或 AFSSLPinningModePublicKey 则看本地内置证书与服务端证书是否匹配
  • 使用了 AFSSLPinningModeCertificateAFSSLPinningModePublicKey,会导致客户端没有内置证书的网站都不能访问,如:https://www.baidu.com

默认校验规则总结:
先约定个几个名词:

正规证书 <=> 操作系统认可 and (域名一致 or 不校验域名)
有效证书 <=> 正规证书 or 允许非正规证书
无效证书 <=> 操作系统不认可 and 不允许非正规证书

  • 先检查 SSLPinningMode,如果为 AFSSLPinningModeNone,检查证书是否为有效证书即为校验结果;
  • 如果 SSLPinningModeAFSSLPinningModeCertificateAFSSLPinningModePublicKey,检查证书,如果为无效证书,校验结果不通过;如果为有效证书,后续则根据本地集成证书与服务端证书一起校验结果,作为最终校验结果。
  • validatesDomainName,只是判定因素之一,虽然影响整体校验结果,但不影响校验逻辑。如:虽然证书合法,指定做域名校验,但是证书域名与访问域名不一致,结果是不通过。

这部分的校验,可以参见官方文档:Overriding TLS Chain Validation Correctly

(2)个性化处理:指定身份验证质询回调块

对于“标准场景”,达到可访问的目的,没有额外要求,上述代码已经可以了。但是对于需要额外处理的场景,如:失败的时候给出对应提示,需要使用如下方法,来指定用于处理授权质询的回调块:

// AFURLSessionManager 类
// 指定用于处理 身份验证质询 的回调块
– setSessionDidReceiveAuthenticationChallengeBlock:

这部分的实现详情可以参见 AFNetworking 中 AFURLSessionManager.m 文件里如下方法:

// AFURLSessionManager.m
// 处理身份验证质询
- URLSession:didReceiveChallenge:completionHandler:

在这个方法中,会先查看用户是否指定了自己的回调块,如果指定了就执行用户自己的回调块,否则执行默认实现。编写自己的回调方法时,可以参考默认实现。

注意:默认实现中,只实现了服务端验证。对于客户端验证部分,只做了如下处理:

*credential = nil;
disposition = NSURLSessionAuthChallengePerformDefaultHandling;

如果要做客户端认证,重写这部分代码即可,后文中会提到。

调试注意事项:

测试时有一点需要注意,如果使用 GET 方法,应保证每次都真实发送了请求,而不是使用缓存,避免影响测试效果。坑啊!

  • (推荐)客户端处理:Request 的 Header 中,指定 Cache-Controlno-cache
  • 处理 URL:为 URL 增加时间戳
  • 服务端处理:Response 的 Header 中,指定 Cache-Controlno-cache
  • iOS 端设置:指定缓存策略(不推荐)

3、UIWebView

(1)使用 AFNetworking

AFNetworking 提供了 UIWebView+AFNetworking Category,可以通过这个分类为 UIWebView 指定 sessionManager,并调用新增加的 - loadRequest:MIMEType:textEncodingName:progress:success:failure: 方法来进行加载。但是在 Cordova 这样的组件中,还会使用 UIWebView 默认的 - loadRequest: 方法,可以配合 Method Swizzling 解决该问题。不过这样的话还是有个问题,会导致 UIWebView 的历史丢失,无法执行“返回”操作,原因是没有使用 UIWebView 自己的方法去访问。

(2)使用 NSURLProtocol

目前对于网络认证相关的处理,效果最好、侵入性最小、对已有代码逻辑影响最小的,是 NSURLProtocol 方式。这里有个用于使 UIWebView 支持客户端认证的插件,对于服务端认证一样有效,参见 https://github.com/mwaylabs/cordova-plugin-client-certificate
  题外话,NSURLProtocol 对于很多特定场景来说更为有效。比如:曾经有项目使用了 HTTP Basic Authorization 认证。如果不使用 NSURLProtocol 的方案,可能会导致以下两种情况不能通过认证:

  • 302 引发的跳转不能自动带上认证信息
  • Web 页面上的 <img><script> 标签、CSS、Ajax 请求不能通过认证

三、客户端认证

对于双向 HTTPS 认证来说,服务端认证是基础。客户端认证的前提,是先实现服务端认证,然后在此基础上做一下补充。
  在前文中服务端授权质询处理相关的描述中,在对应位置写客户端认证的代码即可。客户端需要集成 PKCS12 格式的证书文件(由证书及其私钥文件合成),代码中内置对应密码。
  详见代码示例 iOSSSLDemo

四、相关因素及讨论

1、证书加载

如果使用 AFNetworking 的话,加载证书非常简单,只要把格式为 DER 的证书(扩展名一般为 .cer.der)集成到 Bundle,然后通过以下代码来自动加载:

policy.pinnedCertificates = [AFSecurityPolicy certificatesInBundle:[NSBundle mainBundle]];

如果需要在运行时动态加载临时获取的证书,可以通过

policy.pinnedCertificates = [NSSet setWithObjects:cerData1, cerData2, nil];

来实现。其内容为证书的 NSData 组成的 NSSet

2、证书的校验

@interface NSURLRequest (SSL)
@end

@implementation NSURLRequest (SSL)

+ (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host {
    return YES;
}
@end

这种使用 Category 的写法,也导致不会对证书进行校验。不过此方法有两个问题:

  1. 不校验证书,导致安全级别降低,容易被“中间人”方式攻击;
  2. 此方法为私有方法,不建议使用。

3、iOS 8

在 iOS 8 中,如果使用 AFNetworking 来实现自签名证书的认证,非常简单,只要代码部分按结论中的描述来编写即可。
  有一点不太确定的,网上的资料说必须加载证书,但是实际测试,不加也可以,这个可能跟 AFSSLPinningMode 有关系,不过由于目前 iOS 8 保有量很少了,所以不再深入了。

4、iOS 9+

对于 iOS 9+ 的情况,苹果加入了 ATS,所以必须做 iOS 9 的适配 按照结论中说的,修改 ATS 部分的设置。

5、AFSSLPinningMode

AFSSLPinningMode 是安全策略的模式指定。

#import <Security/Security.h>

typedef NS_ENUM(NSUInteger, AFSSLPinningMode) {
    AFSSLPinningModeNone,    
    //表示不做SSL pinning,只跟浏览器一样在系统的信任机构列表里验证服务端返回的证书。若证书是信任机构签发的就会通过,若是自己服务器生成的证书,这里是不会通过的。

    AFSSLPinningModeCertificate,
    //表示用证书绑定方式验证证书,需要客户端保存有服务端的证书拷贝,这里验证分两步,第一步验证证书的域名/有效期等信息,第二步是对比服务端返回的证书跟客户端返回的是否一致。

    AFSSLPinningModePublicKey,
    //这个模式同样是用证书绑定方式验证,客户端要有服务端的证书拷贝,只是验证时只验证证书里的公钥,不验证证书的有效期等信息。

};
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,012评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,628评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,653评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,485评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,574评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,590评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,596评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,340评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,794评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,102评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,276评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,940评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,583评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,201评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,441评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,173评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,136评论 2 352

推荐阅读更多精彩内容