猖獗的假新闻:2017年1月1日起iOS的APP必须使用HTTPS
一、假新闻如此猖獗
刚才一位老同事 打电话问:我们公司还是用的HTTP,马上就到2017年了,提交AppStore会被拒绝,怎么办?
公司里已经有很多人问过这个问题,回答一下: HTTP还是可以正常提交,不满足 苹果要求的 HTTPS 也可以正常提交。只需要修改下info.plist里的ATS配置。
另外,昨天(2016-12-21)苹果发布声明,ATS的适配规则往后延,时间还没定。也就是现在,大家什么都不用改了。如果苹果不出这个新闻,大家也不用适配HTTPS,因为苹果规定的是禁止忽略ATS,这里是ATS不是HTTPS,这两个是不一样的,这个问题10月份已经打电话问过苹果官方了。具体可以往下看。
以前写过相关的文章:iOS的ATS配置 - 2017年前ATS规定的适配 。文章中也说过2017年1月1日后使用HTTP修改ATS配置即可。后来没想到假新闻会传播的如此疯狂。
我们来看看这个假新闻是怎么快速传播并忽悠大家的:新闻的起源是 苹果开发者大会WWDC 2016上,苹果首席安全架构师 Ivan提到的:2016年末ATS将成为所有应用程序上传到AppStore 的要求。注意这里是ATS而不是HTTPS。
iOS开发人员都知道, 从iOS 9 ATS出来后,大家都喜欢用 Allow Arbitrary Loads 选项来忽略ATS。如果不忽略ATS,APP就会强制使用HTTPS。
当时WWDC 2016上Ivan说的是 从 2017 年 1 月 1 日起,所有的新提交 app 默认是不允许使用 NSAllowsArbitraryLoads 来绕过 ATS 限制。可以通过配置ATS来进行适配。
然而 网络上的各种文章开始疯狂的传播假新闻:2017年1月1日起,必现用HTTPS才能通过审核!必现满足苹果对HTTPS证书和加密规则的要求!
刚开始是IT软文,然后就是iOS开发人员在自己的博客里不断传播。好吧,说明很多人写技术博客看到别人的观点 也不进行验证真假,直接拿来用。并且现在绝大多数的文章都是错的,这个有点恐怖。。。
连大多数的技术文章说的都是假的,想想其他社会新闻,假的会更多吧。 媒体的力量可以控制你的认知,哪怕这个认知是错的。
后来 在论坛中 苹果官方人员也给出过解释:What has changed is that App Review will require “reasonable justification” for most ATS exceptions. The goal here is to flush out those folks who, when ATS was first released, simply turned it off globally and moved on. That will no longer be allowed.
意思:不符合ATS要求的,需要进行说明理由。不能全局关闭ATS,即:不能再用NSAllowsArbitraryLoads了。
但是可以用ATS的Exception Domains属性进行相关配置。只需要提交的时候说明下原因就可以了。
比如:HTTP请求、不满足HTTPS要求的情况,如:TLS协议版本低、ForwardSecrecy算法不满足规则。等,这些都可以进行配置。
另外,昨天的时候,苹果发布了新消息:2017年1月1日,你可以继续关闭ATS:
新闻地址:https://developer.apple.com/news/?id=12212016b
大体意思:为了给你们更多的时间来准备,这个最终期限已经延长,具体什么时间还没定。
所以,现在大家现在 什么都不用修改了。。
当然,我们还是建议大家都升级到HTTPS。迟早的事情。
二、如何适配HTTPS
因为我们的APP已经适配了HTTPS了。现在还用HTTP 不安全,确实太low了(当然HTTPS也是可以被抓包破解的,见我的另一篇博客:逆向工程 - Reveal、IDA、Hopper、HTTPS抓包 等)。说下如何适配HTTPS吧:
1、更新sdk:友盟、个推 等,这些第三方sdk都已经适配HTTPS了,具体的更新和配置看官方文档就好了。
2、域名如果 满足苹果HTTPS的规则,就不用配置,如果不满足 还需要根据自己的情况配置,如:
3、我们的HTTPS是ForwardSecrecy不符合苹果的要求,我们的运维也在积极的适配,如果用的nginx,可以直接在nginx中配置ssl_ciphers选项,我们公司用的 Red ware(类似F5,以色列的设备),就需要单独配置了。
4、测试环境很多公司都是用IP地址访问,这个时候如果不使用NSAllowsArbitraryLoads忽略ATS,在iOS9下是报错的,iOS10没问题。所以DEBUG环境还是要加上NSAllowsArbitraryLoads的,发布AppStore的时候去掉这个配置 就可以了。
5、腾讯云提供了一个 苹果ATS检测的网页,大家可以把自己的域名放上去试试。HTTPS的默认端口是443,看我们公司域名的测试结果:
我们当时适配HTTPS的时候 腾讯云 还没出这个检测的网页,我们是通过配置Xcode的ATS选项来确定是哪里不符合要求的。最后和腾讯云的结果一直。