一、項目內的需求 我們做的app都是企業級的應用,而企業級的應用的下載需要遵循itms協議,itms協議下需要https鏈接,這就需要你的伺服器支持https的協議,該協議需要申請SSL證書,我們測試時用的是自簽名的證書,而自簽名的證書本來就就存在不安全行,自從ios10.3更新以來即使安裝了自簽名 ...
一、項目內的需求
我們做的app都是企業級的應用,而企業級的應用的下載需要遵循itms協議,itms協議下需要https鏈接,這就需要你的伺服器支持https的協議,該協議需要申請SSL證書,我們測試時用的是自簽名的證書,而自簽名的證書本來就就存在不安全行,自從ios10.3更新以來即使安裝了自簽名的證書也報錯,說無法下載app,是因為蘋果阻止了不受信任的證書
二、解決方案
1、自簽名的證書,需要手動的為證書打開信任,通用->關於本機->證書信任設置->證書打開信任
2、申請可信任的證書像StartCom的證書,當然會很貴,關於ios中可用的受信任的根證書列表,可以參考蘋果的官方的文檔
https://support.apple.com/zh-cn/HT208125
三、自簽名的證書為什麼是不安全的
1、自簽證書最容易受到SSL中間人攻擊
自簽證書是不會被瀏覽器所信任的證書,用戶在訪問自簽證書時,瀏覽器會警告用戶此證書不受信任,需要人工確認是否信任此證書。所有使用自簽證書的網站都明確地告訴用戶出現這種情況,用戶必須點信任並繼續瀏覽!這就給中間人攻擊造成了可之機。
2、自簽證書支持不安全的SSL通信重新協商機制
幾乎所有使用自簽SSL證書的伺服器都存在不安全的SSL通信重新協商安全漏洞,這是SSL協議的安全漏洞,由於自簽證書系統並沒有跟蹤最新的技術而沒有及時補漏!此漏洞會被黑客利用而截獲用戶的加密信息,如銀行賬戶和密碼等,非常危險,一定要及時修補。
3、自簽證書使用不安全的1024位非對稱密鑰對
而目前幾乎所有自簽證書都是1024位,自簽根證書也都是1024位,當然都是不安全的。還是那句話:由於部署自簽SSL證書而無法獲得專業SSL證書提供商的專業指導,根本就不知道1024位已經不安全了
4、自簽證書證書有效期太長
自簽證書中還有一個普遍的問題是證書有效期太長,短則5年,長則20年、30年的都有,並且還都是使用不安全1024位加密演算法。可能是自簽證書製作時反正又不要錢,就多發幾年吧,而根本不知道PKI技術標準中為何要限制證書有效期的基本原理是:有效期越長,就越有可能被黑客破解,因為他有足夠長的時間(20年)來破解你的加密。
