1、背景介绍:自2017年1月1日起,根据苹果公司的要求,所有iOS应用必须使用ATS(App Transport Security),即iOS应用内的连接必须使用安全的HTTPS连接,阿里云CDN、传统型负载均衡CLB(原SLB)服务中的HTTPS配置完全符合ATS的要求。
2、证书配置要求
证书颁发机构:对于企业用户,建议使用GlobalSign、DigiCert等品牌的OV或EV型数字证书;对于个人用户,建议使用DV型正式证书,CFCA品牌的数字证书只在最新的苹果设备上才支持,因此不推荐选择CFCA品牌。
证书的哈希算法和密钥长度:哈希算法需使用SHA256或更高强度的算法,符合ATS的要求,如果选择使用系统生成CSR的方式,系统生成的密钥采用的是2,048位的RSA加密算法,完全符合ATS的要求,如果选择手动填写CSR文件,请确保使用2,048位或以上的RSA加密算法。
传输协议:Web服务器上的传输协议必须满足TLSv1.2,基于OpenSSL环境的Web服务器,需要使用OpenSSL 1.0及以上版本,推荐使用OpenSSL 1.0.1及以上版本,基于Java环境的Web服务器,需要使用JDK 1.7及以上版本,其他Web服务器,除IIS 7.5以及Weblogic 10.3.6比较特殊外,只要Web服务器版本满足要求,默认均开启TLSv1.2。
3、Web服务器的详细配置要求
Apache、Nginx Web服务器:需要使用OpenSSL 1.0及以上版本来支持TLSv1.2,下载并导入ats.reg注册表脚本后,需要重启或注销服务器,即可使TLSv1.2生效。
Tomcat配置文件:Tomcat 7及以上版本Web服务器需要您使用JDK 7.0及以上版本来支持TLSv1.2。
IIS 7.5 Web服务器:默认不开启TLSv1.2,需要修改注册表来开启TLSv1.2。
IBM Domino Server:建议使用IBM Domino Server 9.0.1 FP5版本。
IBM HTTP Server:建议使用IBM HTTP Server 8.5及以上版本。
Weblogic:建议使用Weblogic 12及以上版本,或者为Weblogic 10.3.6及以下版本配置前端的Apache和Nginx的HTTPS代理或SSL前端负载。
Websphere:建议使用Websphere V8.0.0.3及以上版本、Websphere V8.5.0.0及以上版本。
4、签名算法:签名算法必须满足如下算法要求:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA。
5、ATS检测工具:您可以在苹果电脑中使用系统自带的工具执行nscurl --ats-diagnostics --verbose <网址>命令进行ATS检测。
相关问题与解答
1、什么是ATS?
ATS(App Transport Security)是苹果的一项安全机制,旨在确保iOS应用内的网络通信使用安全的HTTPS连接,这有助于保护用户数据免受中间人攻击和其他网络安全威胁。
2、为什么苹果要求使用ATS?
苹果要求使用ATS是为了提高iOS应用的安全性,确保用户数据在传输过程中得到加密和保护,这有助于防止数据泄露和网络攻击,提升用户体验和应用的可信度。
3、如何配置Web服务器以符合ATS要求?
要配置Web服务器以符合ATS要求,需要确保服务器支持TLSv1.2或更高版本的传输协议,并使用符合要求的SSL证书,还需要根据具体的Web服务器类型(如Apache、Nginx、Tomcat等)进行相应的配置调整。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1605277.html
本网站发布或转载的文章及图片均来自网络,其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
发表回复