如何使用AFNetworking比较SSL证书

Question

在我的iPhone应用程序中,我使用https与自签名SSL证书的连接从服务器下载敏感数据(用户名和密码).

此应用程序仅供私人使用,不适合生产.

我正在使用AFNetworking管理https连接,但由于我的证书未从CA签名,为了使其工作,我必须将以下内容添加到AFURLConnectionOperation类的标题中:

#define _AFNETWORKING_ALLOW_INVALID_SSL_CERTIFICATES_ 1

但有了这个,我的应用程序将允许任何证书.

有没有办法只允许我的服务器上的证书将它捆绑在应用程序中并将其与https连接中服务器提供的证书进行比较？如果可能的话,在安全方面是否会有任何重大优势？

我对安全性很新,我有点困惑.

Answer 1

您正在寻找的术语是SSL Pinning,其中应用程序验证已知证书或公钥是否与远程服务器提供的证书或公钥匹配.

AFNetworking支持固定证书或公钥.您需要将证书或公钥添加到应用程序的Bundle中,并通过设置defaultSSLPinningModeAFHttpClient上的SSLPinningMode属性或属性on来启用该功能AFURLConnectionOperation.

您可以使用AFSSLPinningModePublicKey或固定AFSSLPinningModeCertificate.AFSSLPinningModeCertificate表示服务器的证书必须与捆绑中的证书完全匹配.

AFSSLPinningModePublicKey 更自由,意味着服务器的证书必须与捆绑中的任何公钥匹配,或者捆绑中的证书附加的任何公钥.

在AppDotNet示例中有一个设置固定模式的示例.

将`.crt文件`转换为`.cer文件`:打开终端并运行以下命令.`openssl x509 -in www.mydomain.com.crt -out www.mydomain.com.cer -outform der` (4认同)

Answer 2

为了扩大大卫的答案,相AFSSLPinningModePublicKey对于AFSSLPinningModeCertificate.理想情况下,您需要固定公钥而不是证书.这是因为某些网站和服务(如Google)每30天左右轮换一次他们的证书.但他们重新认证了相同的公钥.

经常轮换证书以使移动客户端的CRL大小保持较小.但是他们重新认证相同的公钥(而不是创建新的公钥)以允许密钥连续性测试.

公钥固定是像证书巡逻这样的工具错过标记的原因.证书有望改变; 公钥不是.

StrictHostKeyChecking如果你熟悉它,公钥密码很像SSH .