iOS9 ATS特性以及在Xcode7中针对iOS9开启不安全的http连接
2016-09-26 00:00
309 查看
在iOS9中Apple新增了App Transport Security(ATS)特性,其主要目的就是规定了App与服务器通信时将默认要求使用安全的连接,旨在提高App的安全性,APP在使用higher-level API(如NSURLConnection, NSURLSession等)进行通信时如果不采用TLS 1.2协议进行传输,iOS将会报错。Apple推荐创建新的App和在更新已有的App时都应尽快对ATS进行适配。本文将介绍在Xcode7中对ATS进行配置。
当我们在iOS9下直接使用HTTP连接时,会出现如下错误:
如果你希望暂时不适配ATS,则可以在项目的info.plist中添加如下配置,使所有未特殊指定的连接都不开启ATS特性,即允许明文传输的Http连接。其中
如果你希望适配ATS,则需注意ATS特性有如下三个需求
必须要基于TLS 1.2版本进行安全传输
加密方式必须只能是支持前向加密的方法
证书必须至少使用SHA256的Fingerprint和至少2048bit的RSA Key或者至少256bit的Elliptic-Curve(ECC)Key
ATS接受如下加密方法:
如果开启了ATS但是访问的安全连接不符合上述三个条件的任意一个,就会报错。可以通过在info.plist中对个别域名配置例外情况来允许非安全连接或者不完全支持ATS的安全连接。可以参考如下的例子
所有可以设置的参数如下:
<!--| 参数 | 类型 | 默认值 | 说明|
|-----|:----:|:----:|----|
|NSAppTransportSecurity|Dictionary|N/A|ATS配置的根节点,用于覆盖默认的设置|
|NSAllowsArbitraryLoads|Boolean|NO|配置针对没有在NSExceptionDomain中详细列出的其他域名是否启用ATS特性|
| NSExceptionDomains|Dictionary|N/A|存
3ff0
储域名详细配置的根节点|
| \<domain-name-for-exception-as-string\>|Dictionary|N/A|域名|
| NSExceptionMinimumTLSVersionString|String|TLSV1.2|配置该域名支持的最低TLS版本,支持TLSv1.0, TLSv1.1, TLSv1.2三个选项|
| NSExceptionRequiresForwardSecrecy|Boolean|YES|配置该域名是否是要支持前向加密|
| NSExceptionAllowsInsecureHTTPLoads|Boolean|NO|配置是否允许对该域名采用非安全链接|
| NSIncludesSubdomains|Boolean|NO|配置此套配置是否同样适用于该域名的所有子域名|
| NSThirdPartyExceptionMinimumTLSVersion|String|N/A|当此域名不为开发者控制时,采用此配置|
| NSThirdPartyExceptionRequiresForwardSecrecy|Boolean|N/A|当此域名不为开发者控制时,采用此配置|
| NSThirdPartyExceptionAllowsInsecureHTTPLoads|Boolean|N/A|当此域名不为开发者控制时,采用此配置|-->
当NSExceptionRequiresForwardSecrecy设置为NO时,ATS将额外支持以下加密方法:
更多ATS的信息可以参考iOS Developer Library的App Transport Security Technote
本文个人博客地址: http://wty.im/2015/09/22/iOS9-ATS-Feature-and-enable-insecure-http-connection-in-xcode7/
Github: https://github.com/wty21cn/
当我们在iOS9下直接使用HTTP连接时,会出现如下错误:
App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app's Info.plist file.
如果你希望暂时不适配ATS,则可以在项目的info.plist中添加如下配置,使所有未特殊指定的连接都不开启ATS特性,即允许明文传输的Http连接。其中
<key>NSAppTansportSecurtiy</key>是ATS配置的根节点
<key>NSAppTransportSecurity</key> <dict> <key>NSAllowsArbitraryLoads</key> <true/> </dict>
如果你希望适配ATS,则需注意ATS特性有如下三个需求
必须要基于TLS 1.2版本进行安全传输
加密方式必须只能是支持前向加密的方法
证书必须至少使用SHA256的Fingerprint和至少2048bit的RSA Key或者至少256bit的Elliptic-Curve(ECC)Key
ATS接受如下加密方法:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
如果开启了ATS但是访问的安全连接不符合上述三个条件的任意一个,就会报错。可以通过在info.plist中对个别域名配置例外情况来允许非安全连接或者不完全支持ATS的安全连接。可以参考如下的例子
<key>NSAppTransportSecurity</key> <dict> <key>NSExceptionDomains</key> <dict> <key>wty.im</key> <dict> <key>NSIncludesSubdomains</key> <true/> <key>NSExceptionRequiresForwardSecrecy</key> <false/> <key>NSExceptionAllowsInsecureHTTPLoads</key> <true/> <key>NSExceptionMinimumTLSVersion</key> <string>1.1</string> </dict> </dict> </dict>
所有可以设置的参数如下:
<!--| 参数 | 类型 | 默认值 | 说明|
|-----|:----:|:----:|----|
|NSAppTransportSecurity|Dictionary|N/A|ATS配置的根节点,用于覆盖默认的设置|
|NSAllowsArbitraryLoads|Boolean|NO|配置针对没有在NSExceptionDomain中详细列出的其他域名是否启用ATS特性|
| NSExceptionDomains|Dictionary|N/A|存
3ff0
储域名详细配置的根节点|
| \<domain-name-for-exception-as-string\>|Dictionary|N/A|域名|
| NSExceptionMinimumTLSVersionString|String|TLSV1.2|配置该域名支持的最低TLS版本,支持TLSv1.0, TLSv1.1, TLSv1.2三个选项|
| NSExceptionRequiresForwardSecrecy|Boolean|YES|配置该域名是否是要支持前向加密|
| NSExceptionAllowsInsecureHTTPLoads|Boolean|NO|配置是否允许对该域名采用非安全链接|
| NSIncludesSubdomains|Boolean|NO|配置此套配置是否同样适用于该域名的所有子域名|
| NSThirdPartyExceptionMinimumTLSVersion|String|N/A|当此域名不为开发者控制时,采用此配置|
| NSThirdPartyExceptionRequiresForwardSecrecy|Boolean|N/A|当此域名不为开发者控制时,采用此配置|
| NSThirdPartyExceptionAllowsInsecureHTTPLoads|Boolean|N/A|当此域名不为开发者控制时,采用此配置|-->
当NSExceptionRequiresForwardSecrecy设置为NO时,ATS将额外支持以下加密方法:
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
更多ATS的信息可以参考iOS Developer Library的App Transport Security Technote
本文个人博客地址: http://wty.im/2015/09/22/iOS9-ATS-Feature-and-enable-insecure-http-connection-in-xcode7/
Github: https://github.com/wty21cn/
相关文章推荐
- iOS9 ATS特性以及在Xcode7中针对iOS9开启不安全的http连接
- Getting error "No subject alternative names" when doing secure URL connection(针对处理https连接的安全异常)(转:http://www.coderanch.com/t/134
- .NET增强型客户端应用程序中的代码访问安全以及分发特性 (节选)
- 重新想象 Windows 8.1 Store Apps (90) - 通信的新特性: 通过 HttpBaseProtocolFilter 实现 http 请求的缓存控制,以及 cookie 读写; 自定义 HttpFilter; 其他
- 在ATS 5.3.0上开启stats_over_http插件
- JAVA类项目如何开启远程DEBUG模式?TOMCAT,JETTY等容器启动也可以DEBUG,以及JAVA远程连接JMXREMOTE
- J2ME in a Nutshell(翻译版) :第二章 连接有限设备配置CLDC,2.1.2安全特性
- iOS9 http 不能连接的解决办法
- IIS 保持 HTTP 连接(默认开启)
- WIN7 开启远程连接以及远程桌面连接
- ios9 应用传输安全:ATS
- 重新封装zend_soap实现http连接安全认证的php代码
- SQL Server 2008开启sa账户以及如何用JDBC进行连接
- hadoop 之生命在于折腾-----hadoop连接问题(Too many fetch-failures 、map reduce 卡住以及Error reading task outputhttp)
- 开启sa账户以及如何用JDBC进行连接
- WCF消息安全模式之自定义用户名密码:Message CustomUserNamePassword wsHttpBinding 使用Windows Services宿主以及客户端免证书验证
- WIN7 开启远程连接以及远程桌面连接
- SQL Server 2008开启sa账户以及如何用JDBC进行连接
- 开启sa账户以及如何用JDBC进行连接
- iOS9新特性—ATS使用