iOS 应用通常使用 SSL/TLS 协议来加密和保护网络通信。为了确保通信的安全性,客户端需要验证所连接的服务器的证书的有效性。
iOS 应用验证证书的方法包括以下两种:
-
依赖系统库的验证:iOS 提供了证书验证机制的基础设施,应用可以使用 iOS 提供的 API 来验证证书。 比如使用
URLSession处理网络请求时,可以包含一个URLSessionDelegate协议,在不同的方法里面完成证书验证的逻辑。在验证过程中,应用会请求并获取到证书链,该链包含服务器证书和所有颁发者的证书。基于验证策略,客户端会对证书链中的每个证书执行以下操作:
- 验证证书是否存在
- 验证证书的有效性(如:过期、被吊销等)
- 验证证书的颁发者是否可信
如果在上述过程中任何一个步骤失败,客户端会中止连接并返回错误。
-
自定义验证逻辑:在某些情况下,开发者可能需要根据特定要求定制证书验证逻辑,比如忽略证书过期或被吊销的情况。在这种情况下,可以通过指定
URLSession的代理URLSessionDelegate中的一个或多个应用程序定义的验证方法来定制验证过程。在自定义验证方法中,应用可以查询证书内容、信任库、质询等,并自行决定证书是否可信。由此可见,自定义方法需要涉及较少的API并具有相对的灵活性,同时需要注意避免遗漏验证步骤,导致安全漏洞。
无论采用哪种方法,证书验证是保护网络通信的重要环节,需要在应用设计和实现过程中予以重视。