- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我在这里看到了一些问题,但没有一个对我有帮助。人们主要解决重新生成服务器证书的问题:What is the reason of kSecTrustResultRecoverableTrustFailure?
假设我需要使用自签名证书与服务器建立 https 连接。我没有来自服务器的任何内部数据,例如它的私钥。例如服务器是 https://www.pcwebshop.co.uk/
据我所知,我可以将客户端证书捆绑到应用程序中并将其用于验证。我是否可以在没有来自服务器的任何内部数据的情况下获得有效的客户端证书?
我在这里搜索了一个教程 http://www.indelible.org/ink/trusted-ssl-certificates
这是我获取客户端证书的方式
openssl s_client \
-showcerts -connect "${HOST}:443" </dev/null 2>/dev/null | \
openssl x509 -outform DER >"../resources/${HOST}.der"
这是代码(几乎没有变化):
- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace
{
return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust];
}
- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
if ([self shouldTrustProtectionSpace:challenge.protectionSpace]) {
[challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]
forAuthenticationChallenge:challenge];
} else {
[challenge.sender performDefaultHandlingForAuthenticationChallenge:challenge];
}
}
- (BOOL)shouldTrustProtectionSpace:(NSURLProtectionSpace *)protectionSpace
{
// load up the bundled certificate
NSString *certPath = [[NSBundle mainBundle] pathForResource:protectionSpace.host ofType:@"der"];
if (certPath == nil)
return NO;
OSStatus status;
NSData *certData = [[NSData alloc] initWithContentsOfFile:certPath];
CFDataRef certDataRef = (__bridge_retained CFDataRef)certData;
SecCertificateRef cert = SecCertificateCreateWithData(NULL, certDataRef);
// establish a chain of trust anchored on our bundled certificate
CFArrayRef certArrayRef = CFArrayCreate(NULL, (void *)&cert, 1, NULL);
SecTrustRef serverTrust = protectionSpace.serverTrust;
status = SecTrustSetAnchorCertificates(serverTrust, certArrayRef);
// status == 0
// verify that trust
SecTrustResultType trustResult;
status = SecTrustEvaluate(serverTrust, &trustResult);
// status == 0
CFRelease(certArrayRef);
CFRelease(cert);
CFRelease(certDataRef);
return trustResult == kSecTrustResultUnspecified;
}
trustResult 始终是 kSecTrustResultRecoverableTrustFailure。
我做错了什么?谢谢。
更新:好的,我发现原因是“服务器的证书与 URL 不匹配”。
是否可以通过忽略服务器证书的 URL(主机名)从客户端解决问题?
最佳答案
Suppose I need to make a https connection to server with self-signed certificate. I don't have any internal data from the server such as its private keys.
在这种情况下,您需要一个安全多样化策略。 Gutmann 在他的书中对此进行了详细介绍 Engineering Security .
简而言之:在您第一次遇到证书时明智地验证它。您仍然可以使用大多数传统的 PKI/PKIX 测试。一旦证书通过所有测试(“受信任的根路径”除外),您就可以将其称为“受信任”。这种策略称为首次使用时信任或 TOFU。
在后续的连接中,你不再需要TOFU,因为你已经遇到了证书或公钥。在随后的连接中,您确保证书或公钥是连续的(即不变),IP 来自与之前遇到的相同区域等。如果证书发生变化,那么请确保它是因为自签名即将过期.警惕意外变化。
Here's the code (almost unchanged):
...
trustResult == trustResult == kSecTrustResultUnspecified
对于 kSecTrustResultUnspecified
,请参阅 Technical Q&A QA1360 .本质上,这是一个可恢复的错误。问答说提示用户。 Gutmann(和我)建议使用如上所述的安全多元化策略。
您需要让用户脱离循环,因为他们总是会做出让他们尽快通过消息框的决定。不管他们回答对还是错都没有关系 - 他们想看跳舞的兔子。
此外,安全多样化策略甚至适用于kSecTrustResultProceed
。考虑:两者 Diginotar和 Trustwave破坏了 PKI{X},Cocoa/CocoaTouch 非常乐意返回 kSecTrustResultProceed
。这并不是 Cocoa/CocoaTouch 的错——PKI{X} 存在架构缺陷。
Is it possible to fix the issue from the client side by ignoring the URL (hostname) of the server's certificate?
这种做法违背了 PKI{X} 的目的。如果您愿意接受任何主机、任何公钥或任何签名,为什么还要首先使用 PKI{X}? PKI{X} 中 X509 的全部要点是使用受信任的第三方签名(在本例中为自签名)将实体或主机绑定(bind)到公钥。
如果您不关心绑定(bind),只需使用匿名 Diffie-Hellman 并结束安全剧院。
关于ios - 使用 NSURLConnection 使用自签名证书连接到 https 时的 kSecTrustResultRecoverableTrustFailure,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24229926/
IO 设备如何知道属于它的内存中的值在memory mapped IO 中发生了变化? ? 例如,假设内存地址 0 专用于保存 VGA 设备的背景颜色。当我们更改 memory[0] 中的值时,VGA
我目前正在开发一个使用Facebook sdk登录(通过FBLoginView)的iOS应用。 一切正常,除了那些拥有较旧版本的facebook的人。 当他们按下“使用Facebook登录”按钮时,他
假设我有: this - is an - example - with some - dashesNSRange将使用`rangeOfString:@“-”拾取“-”的第一个实例,但是如果我只想要最后
Card.io SDK提供以下详细信息: 卡号,有效期,月份,年份,CVV和邮政编码。 如何从此SDK获取国家名称。 - (void)userDidProvideCreditCardInfo:(Car
iOS 应用程序如何从网络服务下载图片并在安装过程中将它们安装到用户的 iOS 设备上?可能吗? 最佳答案 您无法控制应用在用户设备上的安装,因此无法在安装过程中下载其他数据。 只需在安装后首次启动应
我曾经开发过一款企业版 iOS 产品,我们公司曾将其出售给大型企业,供他们的员工使用。 该应用程序通过 AppStore 提供,企业用户获得了公司特定的配置文件(包含应用程序配置文件)以启用他们有权使
我正在尝试将 Card.io SDK 集成到我的 iOS 应用程序中。我想为 CardIO ui 做一个简单的本地化,如更改取消按钮标题或“在此保留信用卡”提示文本。 我在 github 上找到了这个
我正在使用 CardIOView 和 CardIOViewDelegate 类,没有可以设置为 YES 的 BOOL 来扫描 collectCardholderName。我可以看到它在 CardIOP
我有一个集成了通话工具包的 voip 应用程序。每次我从我的 voip 应用程序调用时,都会在 native 电话应用程序中创建一个新的最近通话记录。我在 voip 应用程序中也有自定义联系人(电话应
iOS 应用程序如何知道应用程序打开时屏幕上是否已经有键盘?应用程序运行后,它可以接收键盘显示/隐藏通知。但是,如果应用程序在分屏模式下作为辅助应用程序打开,而主应用程序已经显示键盘,则辅助应用程序不
我在模拟器中收到以下错误: ImageIO: CGImageReadSessionGetCachedImageBlockData *** CGImageReadSessionGetCachedIm
如 Apple 文档所示,可以通过 EAAccessory Framework 与经过认证的配件(由 Apple 认证)进行通信。但是我有点困惑,因为一些帖子告诉我它也可以通过 CoreBluetoo
尽管现在的调试器已经很不错了,但有时找出应用程序中正在发生的事情的最好方法仍然是古老的 NSLog。当您连接到计算机时,这样做很容易; Xcode 会帮助弹出日志查看器面板,然后就可以了。当您不在办公
在我的 iOS 应用程序中,我定义了一些兴趣点。其中一些有一个 Kontakt.io 信标的名称,它绑定(bind)到一个特定的 PoI(我的意思是通常贴在信标标签上的名称)。现在我想在附近发现信标,
我正在为警报提示创建一个 trigger.io 插件。尝试从警报提示返回数据。这是我的代码: // Prompt + (void)show_prompt:(ForgeTask*)task{
您好,我是 Apple iOS 的新手。我阅读并搜索了很多关于推送通知的文章,但我没有发现任何关于 APNS 从 io4 到 ios 6 的新更新的信息。任何人都可以向我提供 APNS 如何在 ios
UITabBar 的高度似乎在 iOS 7 和 8/9/10/11 之间发生了变化。我发布这个问题是为了让其他人轻松找到答案。 那么:在 iPhone 和 iPad 上的 iOS 8/9/10/11
我想我可以针对不同的 iOS 版本使用不同的 Storyboard。 由于 UI 的差异,我将创建下一个 Storyboard: Main_iPhone.storyboard Main_iPad.st
我正在写一些东西,我将使用设备的 iTunes 库中的一部分音轨来覆盖 2 个视频的组合,例如: AVMutableComposition* mixComposition = [[AVMutableC
我创建了一个简单的 iOS 程序,可以顺利编译并在 iPad 模拟器上运行良好。当我告诉 XCode 4 使用我连接的 iPad 设备时,无法编译相同的程序。问题似乎是当我尝试使用附加的 iPad 时
我是一名优秀的程序员,十分优秀!