苹果iOS9应用加载不再使用HTTP协议,改用安全的HTTPS
摘要:自苹果发布iOS7.1以后,用户安装企业签名的APP,需要使用HTTPS协议来下载plist文件。并且在今年6月苹果高举“为了用户偏好及隐私问题”的大旗的iOS9版本发布后,企业应用发布强制使用HTTPS协议,使用HTTPS协议就意味着需要在服务器上部署SSL证书。
如何打造一个安全的APP?这是每一个移动开发者必须面对的问题。当前网络安全,数据安全等是非常大的问题,每一个软件工程师都有义务保护用户数据的隐私和安全。Apple也明确表示了它打算以身作则的通过一个新特性来提高操作系统的安全性,即增加App Transport Security(ATS,应用传输安全)的安全功能,不安全的链接将会遭到拦截。
iOS9上引进了这个ATS (应用传输安全)的独立的安全修改。ATS默认是打开的,要求网络请求必须在一个安全的链接(HTTPS)上传输,这个安全传输层让黑客不再有可乘之机,并且还有一系列其他的要求来进一步提高安全性能。例如,ATS要求TLS1.2或者更高,TLS 是 SSL 新的别称。正如 Apple官方文档 所说 :
Apple让您的HTTP采用SSL/TLS协议,就是让您从HTTP转到安全的HTTPS,否则用户访问的这个HTTP链接将会自动失效。因此新的应用开发人员应该仅仅采用HTTPS协议,而已经发布了应用的开发人员也应该尽快切换到HTTPS上面来。那么企业网站如何做到支持HTTPS协议呢?只有在网站服务器上部署SSL证书才能使网站支持HTTPS协议。
少数技术人员不愿意找公司申请经费购买全球信任的SSL证书,而选择自己在服务器上做自签SSL证书,将自签SSL证书在服务器上配置好之后,用HTTPS访问有如下提示:
出现这种提示的原因是使用的SSL证书是自签证书,iOS系统里没有预置其根证书,所以不受iOS信任,用户必须点“继续”按钮才可以继续访问下载应用,但是点“继续”需要用户自己承担很大的风险,用户当然不愿意冒险,结果必然是放弃使用该应用。
苹果iOS9发布使用ATS这个技术,目的是强制增强数据访问安全,苹果正在加大应用安全的管控,这个举措可以看出苹果对信息安全的重视,跟之前Apple要求所有应用都支持64位一样,迟早要全部采用。因此企业用户需要使用全球信任证书,即根证书内置在所有平台的证书,并且选择国际化的CA,可以保证长久提供稳定、可靠、安全的SSL数字证书服务。另外全世界这么多安全专家在维护HTTPS安全,早日使用HTTPS确保信息安全才是王道,也省去了自签证书的安全隐患。