苹果原本要在2017年1月1日开始实施ATS安全标准(App Transport Security),但是考虑到很多开发者还没有准备好,在2016年12月底苹果发布消息推迟实施ATS安全标准的时间,具体的时间还不明确,现在对于开发者来说有更充足的时间来为此做准备。ATS安全标能够让APP的网络传输以加密的方式进行,有助于提高用户的数据安全,如果在苹果宣布新的实施时间之后,APP仍未开启ATS安全标准,新版本的APP将无法发布,已经上架不支持ATS的APP可能会被下架。
一. 什么是ATS
ATS 全称 App Transport Security,是 iOS 9 引入的一套安全机制,默认行为会强制保证所有的网络请求都使用 HTTPS , 强制App通过HTTPS连接网络服务,通过传输加密保障用户数据安全.
二. 为什么要强制实施ATS
默认使用的HTTP协议所传输的数据是明文的,就是说用户在浏览器或者APP上输入的用户名、密码、信用卡等敏感信息均是未经加密就直接在网络上传输,犹如在大马路上裸奔,数据在传输过程中可能被拦截、篡改、冒充,所有敏感信息不适合使用HTTP方式传输,苹果出于安全方面的考虑,宣布要实施ATS安全标准,要求开发者使用HTTPS协议进行数据传输。
目前越来越多的网站已经开始使用HTTPS协议来保障网站的数据传输安全,大的网站如百度、淘宝、京东等等,小至各类电子商务网站、个人网店等等
三. APP如何做到符合苹果ATS的要求
苹果对于ATS安全协议基本上就是要求APP请求服务端必须安装SSL证书,但并不是安装了SSL证书就能符合要求,苹果在此基础上提出了具体的安全标准:
对于SSL证书的要求:
1. SSL证书必须使用SHA256或更高的哈希算法签名;
2. 使用2048位以上RSA密钥或256位以上ECC密钥;
3. 使用苹果认可的证书颁发机构所颁发的证书。
对于服务器设置方面的要求:
1. 服务器必须支持传输层安全(TLS)协议1.2版本,需服务器上使用OPENSSL1.0.1以上版本;
2. 通讯加密套件仅限支持完全正向加密的套件。
四. 苹果ATS安全标准的解决方案
1.选择合适的SSL证书
以下证书均完全支持苹果ATS安全标准,可根据需求选择合适的SSL证书,
如只有一个域名需要使用SSL证书,请选择单域名证书;
如有多个域名需要使用SSL证书,请选择多域名证书;
如有同一个域名的多个子域名需要使用SSL证书,请选择通配符证书;
混合型证书支持通配符和非通配符域名颁发在同一个证书,如www.abc.com 和 xyz.com的所有二级域名使用同一个证书。
A. 企业型SSL证书
适合大多数企业使用,支持域名或者IP,著名的SSL颁发机构,采用先进的加密技术,保障数据传输安全无忧。
GeoTrust 企业型证书 | 单域名 | 多域名 | 通配符 | 混合型 |
赛门铁克 企业型证书 | 单域名(多域名) | 通配符 | 混合型 | |
GlobalSign 企业型证书 | 单域名(多域名) | 通配符 | 混合型 |
B.扩展型SSL证书
最高等级的SSL加密技术,最强的安全保障,让浏览器地址栏变绿色,在浏览器地址栏显示公司名称。
GeoTrust 扩展型证书 | 单域名 | 多域名 |
赛门铁克 扩展型证书 | 单域名(多域名) | |
GlobalSign 扩展型证书 | 单域名(多域名) |
2.服务端配置SSL证书
3.APP配置HTTPS