Day: October 21, 2016

2015年6月9日苹果公司在WWDC15 中首次提出ATS (App Transport Security)，在今年的WWDC16大会上要求持续收紧ATS限制策略，没多久，又宣布在2017年1月1日将强制全面启动ATS限制策略。我们发现这次苹果公司对ATS策略更新态度非常强硬，一改之前模凌两可的态度。 那么苹果公司一直在强调的ATS到底是什么呢? ATS是一种新型加密技术-Forward Secrecy，要求应用与后台通讯必须使用最新的TLS1.2版本Https协议，以及所有Apple Store中的App必须使用SHA256算法的SSL/TLS证书。 此次ATS安全策略除浏览器类允许禁用ATS，App调用Safari进程，允许http方式连接后台服务器；影音多媒体应用，可通过http方式加载外，其余所有App都需要HTTPS方式连接ATS安全规范，开发者最好保证与App通讯的所有网络服务器都部署了Https加密，否则在应用审核中就会很抓狂。 开发者应该如何应对ATS的策略更新呢？首先要获取ATS最新资讯，做好应用改造的前期准备，解读ATS策略，从中获取重要信息，掌握时间节点。其次，要选择适合的证书，为部署Https证书做决策，调整后台应用，实现后台应用全站Https，协调运营及开发完成部署，完善服务器端应用部署及Web服务器的配置工作。最后，以安全方式发布应用，完成应用改造，重新发布应用。一定要注意的是，所有App改造均需要在2017年1月1日之前完成。 ATS安全解决方案 1、合理优化架构 开发者应确保与App通讯的所有服务器均提前部署https加密，而不是通过在app的 Info.plist 中设置禁用 ATS。多个应用或多个服务器后台地址，需合理规划服务器部署，进行域名收敛以节约成本、方便管理。 2、选择合适的产品 （1）个人开发者及中小企业可使用免费DV产品； （2）企业级应用、大型互联网应用选择多域名或通配符类证书； （3）应用推广、形象展示页面，使用高端EV服务器证书。 3、合理安装部署 （1）安装新版Web Server程序，启用TLSv1.2版本协议； （2）优化配置Ciphers，支持完全正向加密技术； （3）选择权威授权CA认证机构天威诚信，获取sha256算法证书； （4）使用证书智能管理系统，轻松管理服务器证书。 4、应用安全优化 （1）更新应用接口，使用https通讯接口； （2）应用安全检测及安全加固； （3）除ATS已知的许可策略以外，启用服务端应用的全站https优化。