https://kunnan.blog.csdn.net/article/details/77115940
经过app的SSL证书验证之后,就是这样子,别人无法获取报文,除非服务器的证书信任Charles的证书
验证方法:
(void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge;
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler;
获取证书信息进行验证
AFSecurityPolicy用于验证HTTPS请求的证书 ,先来看看HTTPS的原理和证书相关的几个问题。
客户端和服务端建立一个连接,服务端返回一个证书,客户端里存有各个受信任的证书机构根证书,用这些根证书对服务端返回的证书进行验证,经验证如果证书是可信任的,就生成一个pre-master secret,用这个证书的公钥加密后发送给服务端,服务端用私钥解密后得到pre-master secret,再根据某种算法生成master secret,客户端也同样根据这种算法从pre-master secret生成master secret,随后双方的通信都用这个master secret对传输数据进行加密解密。
首先要知道非对称加密算法的特点,非对称加密有一对公钥私钥,用公钥加密的数据只能通过对应的私钥解密,用私钥加密的数据只能通过对应的公钥解密。例子:一个证书颁发机构(CA),颁发了一个证书A,服务器用这个证书建立https连接。客户端在信任列表里有这个CA机构的根证书。首先CA机构颁发的证书A里包含有证书内容F,以及证书加密内容F1,加密内容F1就是用这个证书机构的私钥对内容F加密的结果。(这中间还有一次hash算法) 建立https连接时,服务端返回证书A给客户端,客户端的系统里的CA机构根证书有这个CA机构的公钥,用这个公钥对证书A的加密内容F1解密得到F2,跟证书A里内容F对比,若相等就通过验证。
整个流程大致是:F->CA私钥加密->F1->客户端CA公钥解密->F
。因为中间人不会有CA机构的私钥,客户端无法通过CA公钥解密,所以伪造的证书肯定无法通过验证。
可以理解为证书绑定,是指客户端直接保存服务端的证书,建立https连接时直接对比服务端返回的和客户端保存的两个证书是否一样,一样就表明证书是真的,不再去系统的信任证书机构里寻找验证。这适用于非浏览器应用,因为浏览器跟很多未知服务端打交道,无法把每个服务端的证书都保存到本地,但CS架构的像手机APP事先已经知道要进行通信的服务端,可以直接在客户端保存这个服务端的证书用于校验。
为什么直接对比就能保证证书没问题?如果中间人从客户端取出证书,再伪装成服务端跟其他客户端通信,它发送给客户端的这个证书不就能通过验证吗?确实可以通过验证,但后续的流程走不下去,因为下一步客户端会用证书里的公钥加密,中间人没有这个证书的私钥就解不出内容,也就截获不到数据,这个证书的私钥只有真正的服务端有,中间人伪造证书主要伪造的是公钥。为什么要用SSL Pinning?正常的验证方式不够吗?如果服务端的证书是从受信任的的CA机构颁发的,验证是没问题的,但CA机构颁发证书比较昂贵,小企业或个人用户可能会选择自己颁发证书
,这样就无法通过系统受信任的CA机构列表验证这个证书的真伪了,所以需要SSL Pinning这样的方式去验证。当然更重要的是可以防止通过手动设置信任证书进行代理抓包,比如Charles
NSURLConnection已经封装了https连接的建立、数据的加密解密功能,我们直接使用NSURLConnection是可以访问https网站的,但NSURLConnection并没有验证证书是否合法,无法避免中间人攻击。要做到真正安全通讯,需要我们手动去验证服务端返回的证书,AFSecurityPolicy封装了证书验证的过程,让用户可以轻易使用,除了去系统信任CA机构列表验证,还支持SSL Pinning方式的验证。
//把服务端证书(需要转换成cer格式)放到APP项目资源里,AFSecurityPolicy会自动寻找根目录下所有cer文件
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];
securityPolicy.allowInvalidCertificates = YES;
[AFHTTPRequestOperationManager manager].securityPolicy = securityPolicy;
[manager GET:@"https://example.com/" parameters:nil success:^(AFHTTPRequestOperation *operation, id responseObject) {
} failure:^(AFHTTPRequestOperation *operation, NSError *error) {
}];
使用AFSSLPinningModeCertificate 方式验证的时候,获取 DER 表示的数据时 发生如下错误:Create a certificate Return NULL 。根据“@result Return NULL if the passed-in data is not a valid DER-encoded ”,从而推测cer证书 is not a valid DER-encoded。
AFSSLPinningModeNone
• 这个模式不做本地证书验证(不做 SSL Pinning 操作)
• 直接从客户端系统中的受信任颁发机构 CA 列表中去验证
AFSSLPinningModePublicKey
• 客户端需要一份证书文件的拷贝
• 验证时只验证证书里的公钥,不验证证书的有效期等信息
• 即使伪造证书的公钥,也不能解密传输的数据,必须要私钥
AFSSLPinningModeCertificate
• 客户端需要一份证书文件的拷贝
• 第一步验证、先验证证书的域名/有效期等信息
• 第二步验证、对比服务端返回的证书跟客户端存储的证书是否一致
"openssl s_client -connect www.google.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > https.cer"
证书里面包含有一个叫.crt的文件,你需要将它转换成.cer的格式,转换方法如下:openssl x509 -in your certificate.crt -out your certificate.cer -outform der
dispatch_once(&onceToken, ^{
_manager = [AFHTTPRequestOperationManager manager];//只初始化一次
// [_manager setSecurityPolicy:[HTTPRequestManager setupSecurityPolicy]];
});
btn.enabled = NO;
//1. 设置安全策略
[_manager setSecurityPolicy:[HTTPRequestManager setupSecurityPolicy]];
#pragma mark - ******** ssl证书检测设置
+ (AFSecurityPolicy*)setupSecurityPolicy
{
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"cxxxxweimpliuay"ofType:@"cer"];
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
// AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init];
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
[securityPolicy setPinnedCertificates:@[certData]];
securityPolicy.allowInvalidCertificates =NO;//定义了客户端是否信任非法证书
securityPolicy.validatesDomainName =YES;//是指是否校验在证书中的domain这一个字段
securityPolicy.validatesCertificateChain =NO;//指的是是否校验其证书链。
return securityPolicy;
}
securityPolicy.allowInvalidCertificates =NO;
securityPolicy.validatesDomainName =YES;
securityPolicy.validatesCertificateChain =NO;