笔者自语:令人头疼的https配置终于告一段落,回顾之前的遇到各种没有概念的问题,是一个即心酸有蛋疼的过程。终于有一天测试成功了,为了后来人绕过我的这些令人心碎的探索历程,准备将自己认为对的东西写下来,如果有理解错误的地方,还望各位大神不吝赐教。
为什么要配置https?
Apple在安全及用户隐私方面做了很多工作,包括沙盒机制、代码签名、禁用私有API等。在WWDC 2015上,Apple又提出了App Transport Security(ATS)的概念。这一特性的主要意图是为我们的App与服务器之间提供一种安全的通信方式,以防止中间人窃听、篡改传输的数据。这一特性在iOS 9+和OS X 10.11+中是默认的支持项。这一概念的提出,也将意味着Apple将会慢慢转向支持HTTPS,而可能放弃HTTP。所以还没有配置https的项目配置https及相关的事项是迟早的事情。
App Transport Security(ATS)的要求
我们先来看看ATS的技术要求(参考App Transport Security Technote):
The server must support at least Transport Layer Security (TLS) protocol version 1.2.
Connection ciphers are limited to those that provide forward secrecy (see the list of ciphers below.)
Certificates must be signed using a SHA256 or better signature hash algorithm, with either a 2048 bit or greater RSA key or a 256 bit or greater Elliptic-Curve (ECC) key.
如果想复合Apple的要求我们要做的工作是:
1.服务端必须支持TLS 1.2或者以上版本;
2.服务端必须支持前向保密的密码;
3.证书必须使用SHA-256或者更好的签名hash算法来签名,如果证书无效,则会导致连接失败。
Apple认为这是目前保证通信安全性的最佳实践,特别是使用TLS 1.2和前向保密。当然,相信Apple也会与时俱进,不断的修正ATS,以保证网络通信的安全性。
xcode的默认设置
在iOS 9+和OS X 10.11+中,如果我们的App使用了NSURLConnection、CFURL 或者NSURLSession相关的API来进行数据通信的话,则默认是通过ATS的方式来传输数据。在此配置下,如果我们使用HTTP来进行通信,则会导致请求失败,并报以下错误:
The resource could not be loaded because the App Transport Security policy requires the use of a secure connection.
自定义配置
考虑到目前不是所有的app都在使用ATS,所以Apple允许我们暂时在info.plist文件中自行配置以修改默认配置(Exceptions),键类型说明:
- AppTransportSecurityDictionary 配置ATS的顶层键值
- AllowsArbitraryLoads Boolean 这是一个开关键,设置不在NSExceptionDomains列表中的其它域ATS特性。默认值是NO,如果设置为YES,则会关闭其它域的ATS特性。
- Exception Domains Dictionary 特定域列表Dictionary 需要自定义配置的域名,键是对应的域名,如www.apple.com
- NSExceptionMinimumTLSVersion String 指定域所需要的TLS的最低版本。有效值包括:TLSv1.0、TLSv1.1、TLSv1.2。默认值是TLSv1.2
- NSExceptionRequiresForwardSecrecy Boolean 指定域是否需要支持前向保密。默认值是YES
- NSExceptionAllowsInsecureHTTPLoads Boolean 指定域的请求是否允许使用不安全的HTTP。使用这个键来访问没有证书,或者证书是自签名、过期或主机名不匹配的证书。默认值为NO,表示需要使用HTTPS。
- NSIncludesSubdomains Boolean 指定自定义的值是否应用到域的所有子域中。默认值是NO
- NSThirdPartyExceptionMinimumTLSVersion String 类似于
- NSExceptionMinimumTLSVersion键,只不过指定的是应用本身无法控制的第三方组件的域所需要的TLS的最低版本。
- NSThirdPartyExceptionRequiresForwardSecrecy Boolean 同上。指定第三方组件的域是否需要支持前向保密
- NSThirdPartyExceptionAllowsInsecureHTTPLoads Boolean 同上。指定第三方组件的域的请求是否使用HTTPS
通过设置上面的这些值,就可以精确的配置应用中访问的不同域的ATS特性。
示例说明:
Example A:所有请求均使用ATS
这当然是默认配置,只需要我们使用NSURLSession, NSURLConnection或者CFURL来做网络请求。当然只有iOS 9.0+以及OS X 10.11+才支持这一特性。
Example B:配置部分域不使用ATS
如果我们希望部分域的请求不使用ATS,则我们可以将这些域放在NSExceptionDomains列表中来进行配置,以修改这些域的ATS默认配置。如果我们希望指定域及其所有子域都禁用ATS,则设置NSExceptionAllowsInsecureHTTPLoads为YES并将NSIncludesSubdomains设置为YES。
那当然,如果我们不想在指定域完全禁用ATS,则可以设置 NSExceptionRequiresForwardSecrecy 和NSExceptionMinimumTLSVersion 来指定更多的规则。
Example C:禁用ATS,但部分域使用ATS
如果我们想要在应用中禁用ATS特性,则可以设置NSAllowsArbitraryLoads的值为YES,这样所有的请求将不会使用ATS。而如果我们希望部分域使用ATS,则如同Example B中那样来设置指定域的 NSExceptionAllowsInsecureHTTPLoads 的值为NO,这样就要求指定域必须使用ATS来进行数据传输。如下配置:
Example D:降级ATS
在一些情况下,我们可能需要使用ATS,但可能现实情况并不完全能够支持ATS的最佳实践。比如我们的服务端支持TLS 1.2,但却不支持前向保密。这种情况下,我们可以让指定域支持ATS,但同时禁用前向保密,这种情况下就可以设置NSExceptionRequiresForwardSecrecy为NO。同样,如果我们希望使用前向保密,但可以TLS的版本只是1.1,则我们可以设置 NSExceptionMinimumTLSVersion 的值为TSLv1.1,如下配置:
Example E:完全禁用ATS的更友好的方式
如果想完全禁用ATS,我们可以在Info.plist中简单的设置NSAllowsArbitraryLoads为YES,如下配置:
以上几种情况基本上囊括了自定义ATS特性的所有情况。大家可以根据需要来自定义配置。
