个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
25
4
我在这里看到了一些问题,但没有一个对我有帮助。人们主要解决重新生成服务器证书的问题:What is the reason of kSecTrustResultRecoverableTrustFailure?
假设我需要使用自签名证书与服务器建立 https 连接。我没有来自服务器的任何内部数据,例如它的私钥。例如服务器是 https://www.pcwebshop.co.uk/
据我所知,我可以将客户端证书捆绑到应用程序中并将其用于验证。我是否可以在没有来自服务器的任何内部数据的情况下获得有效的客户端证书?
我在这里搜索了一个教程 http://www.indelible.org/ink/trusted-ssl-certificates
这是我获取客户端证书的方式
openssl s_client \
-showcerts -connect "${HOST}:443" </dev/null 2>/dev/null | \
openssl x509 -outform DER >"../resources/${HOST}.der"
这是代码(几乎没有变化):
- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace
{
return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust];
}
- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
if ([self shouldTrustProtectionSpace:challenge.protectionSpace]) {
[challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]
forAuthenticationChallenge:challenge];
} else {
[challenge.sender performDefaultHandlingForAuthenticationChallenge:challenge];
}
}
- (BOOL)shouldTrustProtectionSpace:(NSURLProtectionSpace *)protectionSpace
{
// load up the bundled certificate
NSString *certPath = [[NSBundle mainBundle] pathForResource:protectionSpace.host ofType:@"der"];
if (certPath == nil)
return NO;
OSStatus status;
NSData *certData = [[NSData alloc] initWithContentsOfFile:certPath];
CFDataRef certDataRef = (__bridge_retained CFDataRef)certData;
SecCertificateRef cert = SecCertificateCreateWithData(NULL, certDataRef);
// establish a chain of trust anchored on our bundled certificate
CFArrayRef certArrayRef = CFArrayCreate(NULL, (void *)&cert, 1, NULL);
SecTrustRef serverTrust = protectionSpace.serverTrust;
status = SecTrustSetAnchorCertificates(serverTrust, certArrayRef);
// status == 0
// verify that trust
SecTrustResultType trustResult;
status = SecTrustEvaluate(serverTrust, &trustResult);
// status == 0
CFRelease(certArrayRef);
CFRelease(cert);
CFRelease(certDataRef);
return trustResult == kSecTrustResultUnspecified;
}
trustResult 始终是 kSecTrustResultRecoverableTrustFailure。
我做错了什么?谢谢。
更新:好的,我发现原因是“服务器的证书与 URL 不匹配”。
是否可以通过忽略服务器证书的 URL(主机名)从客户端解决问题?
最佳答案
Suppose I need to make a https connection to server with self-signed certificate. I don't have any internal data from the server such as its private keys.
在这种情况下,您需要一个安全多样化策略。 Gutmann 在他的书中对此进行了详细介绍 Engineering Security .
简而言之:在您第一次遇到证书时明智地验证它。您仍然可以使用大多数传统的 PKI/PKIX 测试。一旦证书通过所有测试(“受信任的根路径”除外),您就可以将其称为“受信任”。这种策略称为首次使用时信任或 TOFU。
在后续的连接中,你不再需要TOFU,因为你已经遇到了证书或公钥。在随后的连接中,您确保证书或公钥是连续的(即不变),IP 来自与之前遇到的相同区域等。如果证书发生变化,那么请确保它是因为自签名即将过期.警惕意外变化。
Here's the code (almost unchanged):
...
trustResult == trustResult == kSecTrustResultUnspecified
对于 kSecTrustResultUnspecified,请参阅 Technical Q&A QA1360 .本质上,这是一个可恢复的错误。问答说提示用户。 Gutmann(和我)建议使用如上所述的安全多元化策略。
您需要让用户脱离循环,因为他们总是会做出让他们尽快通过消息框的决定。不管他们回答对还是错都没有关系 - 他们想看跳舞的兔子。
此外,安全多样化策略甚至适用于kSecTrustResultProceed。考虑:两者 Diginotar和 Trustwave破坏了 PKI{X},Cocoa/CocoaTouch 非常乐意返回 kSecTrustResultProceed。这并不是 Cocoa/CocoaTouch 的错——PKI{X} 存在架构缺陷。
Is it possible to fix the issue from the client side by ignoring the URL (hostname) of the server's certificate?
这种做法违背了 PKI{X} 的目的。如果您愿意接受任何主机、任何公钥或任何签名,为什么还要首先使用 PKI{X}? PKI{X} 中 X509 的全部要点是使用受信任的第三方签名(在本例中为自签名)将实体或主机绑定(bind)到公钥。
如果您不关心绑定(bind),只需使用匿名 Diffie-Hellman 并结束安全剧院。
关于ios - 使用 NSURLConnection 使用自签名证书连接到 https 时的 kSecTrustResultRecoverableTrustFailure,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24229926/
25
4
0
SQLite、Content provider 和 Shared Preference 之间的所有已知区别。 但我想知道什么时候需要根据情况使用 SQLite 或 Content Provider 或
警告:我正在使用一个我无法完全控制的后端,所以我正在努力解决 Backbone 中的一些注意事项,这些注意事项可能在其他地方更好地解决......不幸的是,我别无选择,只能在这里处理它们! 所以,我的
我一整天都在挣扎。我的预输入搜索表达式与远程 json 数据完美配合。但是当我尝试使用相同的 json 数据作为预取数据时,建议为空。点击第一个标志后,我收到预定义消息“无法找到任何内容...”,结果
我正在制作一个模拟 NHL 选秀彩票的程序,其中屏幕右侧应该有一个 JTextField,并且在左侧绘制弹跳的选秀球。我创建了一个名为 Ball 的类,它实现了 Runnable,并在我的主 Draf
这个问题已经有答案了: How can I calculate a time span in Java and format the output? (18 个回答) 已关闭 9 年前。 这是我的代码
我有一个 ASP.NET Web API 应用程序在我的本地 IIS 实例上运行。 Web 应用程序配置有 CORS。我调用的 Web API 方法类似于: [POST("/API/{foo}/{ba
我将用户输入的时间和日期作为: DatePicker dp = (DatePicker) findViewById(R.id.datePicker); TimePicker tp = (TimePic
放宽“邻居”的标准是否足够,或者是否有其他标准行动可以采取? 最佳答案 如果所有相邻解决方案都是 Tabu,则听起来您的 Tabu 列表的大小太长或您的释放策略太严格。一个好的 Tabu 列表长度是
我正在阅读来自 cppreference 的代码示例: #include #include #include #include template void print_queue(T& q)
我快疯了,我试图理解工具提示的行为,但没有成功。 1. 第一个问题是当我尝试通过插件(按钮 1)在点击事件中使用它时 -> 如果您转到 Fiddle,您会在“内容”内看到该函数' 每次点击都会调用该属
我在功能组件中有以下代码: const [ folder, setFolder ] = useState([]); const folderData = useContext(FolderContex
我在使用预签名网址和 AFNetworking 3.0 从 S3 获取图像时遇到问题。我可以使用 NSMutableURLRequest 和 NSURLSession 获取图像,但是当我使用 AFHT
我正在使用 Oracle ojdbc 12 和 Java 8 处理 Oracle UCP 管理器的问题。当 UCP 池启动失败时,我希望关闭它创建的连接。 当池初始化期间遇到 ORA-02391:超过
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 9 年前。 Improve
引用这个plunker: https://plnkr.co/edit/GWsbdDWVvBYNMqyxzlLY?p=preview 我在 styles.css 文件和 src/app.ts 文件中指定
为什么我的条形这么细?我尝试将宽度设置为 1,它们变得非常厚。我不知道还能尝试什么。默认厚度为 0.8,这是应该的样子吗? import matplotlib.pyplot as plt import
当我编写时,查询按预期执行: SELECT id, day2.count - day1.count AS diff FROM day1 NATURAL JOIN day2; 但我真正想要的是右连接。当
我有以下时间数据: 0 08/01/16 13:07:46,335437 1 18/02/16 08:40:40,565575 2 14/01/16 22:2
一些背景知识 -我的 NodeJS 服务器在端口 3001 上运行,我的 React 应用程序在端口 3000 上运行。我在 React 应用程序 package.json 中设置了一个代理来代理对端
我面临着一个愚蠢的问题。我试图在我的 Angular 应用程序中延迟加载我的图像,我已经尝试过这个2: 但是他们都设置了 src attr 而不是 data-src,我在这里遗漏了什么吗?保留 d
我是一名优秀的程序员,十分优秀!