最后期限:2016年底苹果iOS App强制使用HTTPS
发布日期:2016-06-276月14日在WWDC 2016开发者大会上,苹果宣布了一个最后期限:2017年1月1日起,苹果App Store中的所有App都必须启用 App Transport Security(ATS)安全功能。
过渡期结束,苹果宣布强制HTTPS的最后期限
App Transport Security(应用程序安全传输),简称 ATS,是苹果在 iOS 9 中首次推出的一项隐私安全保护功能,启用ATS后,它会屏蔽明文HTTP资源加载,强制App通过HTTPS连接网络服务,通过传输加密保障用户数据安全。
ATS在 iOS 9 中是默认开启的,但开发者仍然可以选择关闭 ATS,让自己的应用通过 HTTP 连接传输数据。但从2017年1月1日起,这招将行不通了,所有提交到 App Store 的App必须强制开启 ATS。苹果最终明确了这个最后期限,让那些想知道何时必须强制开启ATS的开发者松了一口气,而用户也能明确的知道,他们的苹果App将默认使用安全的HTTPS连接,确保数据安全。
为什么要强制开启ATS和HTTPS加密
HTTP是非常不安全的明文传输协议,任何通过HTTP协议传输的数据都以明文形式在网络中“裸奔”,任何数据都处在被窃听、篡改、冒充这三大风险之中。HTTP不提供任何方式的数据加密,如果攻击者劫持了HTTP流量,就可以直接读懂其中的信息;而且HTTP并不验证服务器身份的真实性,服务器返回的请求容易被篡改或者假冒,而用户根本无法察觉。因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
HTTPS协议是Http Over SSL,简单来说就是HTTP的安全版本,在HTTP的基础上增加SSL/TLS加密传输协议,通过HTTPS加密传输和身份认证保证了数据传输过程的安全性。在登录网银和电子邮箱时,你会常常看到地址栏的网址显示HTTPS前缀,从而轻松判断这个网页是否采用了HTTPS加密连接。但是在移动应用上,网络连接的安全性就没有那么透明了,用户很难知道App连接网络时使用的是HTTP还是HTTPS。
ATS就是因此而诞生的,ATS要求服务器必须支持传输层安全(TLS)协议1.2以上版本;证书必须使用SHA256或更高的哈希算法签名;必须使用2048位以上RSA密钥或256位以上ECC算法等等,不满足条件的证书,ATS都会拒绝连接。强制开启ATS体现了苹果一贯的隐私保护态度。
沃通CA支招,正确启用HTTPS连接
去年11月,沃通CA曾针对我国一些热门APP进行安全连接检测。综合结果显示,90%以上的APP未使用HTTPS加密连接,启用全站HTTPS加密的更是少之又少;已启用HTTPS连接的页面,98%不校验证书链和证书签发者,甚至不验证证书域名是否匹配,极易被黑客利用虚假服务器进行攻击,劫持加密流量,窃取用户机密信息。下图显示了某电商移动APP与虚假服务器完成SSL握手。
某电商移动APP与虚假服务器完成SSL握手
沃通CA建议,移动App不仅应该按要求启用HTTPS加密,为了更加安全地进行网络连接,还应注意以下几点:
·向正规的CA机构(如沃通CA)申请符合ATS要求的SSL证书
·校验证书链
·校验证书签发者
·校验证书域名是否匹配
正确启用HTTPS连接其实并不复杂,成本也不高,沃通CA提供从低端到高端的4款SSL证书产品,可满足任何移动开发者的HTTPS升级需求。此外,沃通CA提供高效的技术支持服务,帮助用户更加专业安全地配置HTTPS证书,正确启用HTTPS加密连接,帮助您牢牢抓住iOS的巨大市场和用户。
关于沃通
沃通CA是权威可信的数字证书颁发机构,通过严格的WebTrust国际认证和工信部许可,并通过了微软认证、Mozilla 认证、Android 认证、苹果认证和Adobe认证,根证书预置到全球操作系统、浏览器和移动终端中。因此,沃通CA签发的SSL证书能完美兼容1999年以后的所有浏览器、服务器以及苹果安卓移动端,有效防范目前常见的数据泄露、流量劫持和钓鱼欺诈等安全事件。
Netcraft统计显示,沃通SSL证书在中国市场占有率排名第一,成为中国最有竞争力的SSL证书品牌,国内三分之一的SSL用户选择沃通SSL证书。
关键词:App Transport Security,ATS
文章地址:http://www.wosign.com/News/ATS-HTTPS.htm