码迷,mamicode.com
首页 > 系统相关 > 详细

Apple IOS之ATS问题

时间:2016-11-04 05:10:49      阅读:598      评论:0      收藏:0      [点我收藏+]

标签:Apple   ATX   IOS   SHA256   ECDHE   PFS   SSL   TLS   

ATS

App Transport Security,是IOS9中新增加的一项功能,是Apple提高网络通讯安全的一个重要改进。在IOS 9 和OS X 10.11中,默认情况下的非HTTPS的网络访问是被禁止的,在2017年1月1日前,为了降低影响,我们可以在Info.plist中增加” NSAppTransportSecurity”字典,并将”NSAllowsArbitraryLoads”设为”YES”来禁用ATS。但在2017年1月1日以后,就不再允许用这个方法来绕过ATS,所以新提交的APP的网络请求都必须是HTTPS加密的,否则可能会在应用审核时遇到麻烦。

ATS网络连接要求

要全面启用ATS功能,需要您的APP连接使用HTTPS链接,并且满足下面安全要求:

1、    由可信机构颁发的SSL证书,签发根证书在IOS可信根证书列表中。

(Symantec,GeoTrust,RapidSSL 的所有SSL证书产品,都在IOS可信根证书列表中)

2、    SSL证书必须是RSA 2048位以上,并且采用SHA256签名。

(Symantec,GeoTrust,RapidSSL 的所有SSL证书产品都满足这项条件)

3、    协商的TLS通信协议必须在TLS 1.2 以上。

4、    连接必须使用AES-128和AES-256对称加密算法,TLS协商的加密套件必须支持ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)密钥交换算法以实现PFS特性(Perfect Forward Secury),支持的加密套件算法如下:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Web Server实现ATS功能

Windows IIS配置说明

Apache配置说明

Tomcat配置说明

NGINX配置说明

F5配置说明

 

FYI: https://www.myssl.cn/home/article-38.html

Apple IOS之ATS问题

标签:Apple   ATX   IOS   SHA256   ECDHE   PFS   SSL   TLS   

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
sslworker
加入时间:2016-11-04
  关注此人  发短消息
文章分类
sslworker”关注的人------(0
sslworker”的粉丝们------(0
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!