安科网

关于AFNetworking自签名证书的一点疑问

倾城一屁博妹一笑

倾城一屁博妹一笑

2020-06-12

关注 关注

0x01 问题

如果使用自签名证书,需要在AFSecurityPolicy中允许无效证书:

AFSecurityPolicy* policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
[securityPolicy setAllowInvalidCertificates:YES];

实际情况下,网络请求依然失败,并且提示:

In order to validate a domain name for self signed certificates, you MUST use pinning.

0x02 伪方案:validatesDomainName

网上查询资料,大多数答案都说需要把域名验证关闭:

[securityPolicy setValidatesDomainName:NO];

这样做网络请求确实成功了,但是实际上自签名证书也是可以包含域名的,即Common Name(CN)字段。理论上这个validatesDomainName属性应当与自签名无关。

查看AFSecurityPolicy源码,发现当使用自签名证书时,如果validatesDomainName值为YES,会直接网络请求失败:

- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
                  forDomain:(NSString *)domain
{
                    if (domain && self.allowInvalidCertificates && self.validatesDomainName && (self.SSLPinningMode == AFSSLPinningModeNone || [self.pinnedCertificates count] == 0)) {
        // https://developer.apple.com/library/mac/documentation/NetworkingInternet/Conceptual/NetworkingTopics/Articles/OverridingSSLChainValidationCorrectly.html
        //  According to the docs, you should only trust your provided certs for evaluation.
        //  Pinned certificates are added to the trust. Without pinned certificates,
        //  there is nothing to evaluate against.
        //
        //  From Apple Docs:
        //          "Do not implicitly trust self-signed certificates as anchors (kSecTrustOptionImplicitAnchors).
        //           Instead, add your own (self-signed) CA certificate to the list of trusted anchors."
        NSLog(@"In order to validate a domain name for self signed certificates, you MUST use pinning.");
        return NO;
    }

根据注释信息可以看到,AFNetworking要求对一个自签名证书的域名验证是要走证书绑定模式。推测这么做是为了安全方面的考量,如果使用自签名证书,不验证证书的有效性,无法避免中间人攻击,强制证书绑定可以避免这个问题。

至于设置validatesDomainNameNO网络请求就能成功,因为它能够破坏AFNetworking的限制条件,证书验证能够执行且不验证域名。从另一个方面说,既然不验证证书有效性也不验证域名,使用者对中间人攻击已经不关心了,网络请求能够成功也没问题。

0x03 自签名证书使用证书绑定模式流程

将cer格式证书拖到工程内,新建AFSSLPinningModePublicKeyAFSSLPinningModeCertificate模式的AFSecurityPolicy,设置允许无效证书:

AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
[securityPolicy setAllowInvalidCertificates:YES];

新版的AFNetworking会自动扫描工程中的cer证书文件,并将证书数据设置到属性中:

@property (nonatomic, strong, nullable) NSSet <NSData *> *pinnedCertificates;

这样就完成了。

0x04 总结

AFNetworking使用自签名证书,推荐使用证书绑定模式。如果担心证书更新问题或不关心中间人攻击,可以选择不绑定证书,设置不验证域名。

生成自签名证书: https://ningyu1.github.io/site/post/51-ssl-cert/

afnetworking

倾城一屁博妹一笑

倾城一屁博妹一笑

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

AFNetworking到底长啥样(下)

在AFNetworking到底长啥样(上)中简单介绍了AFN涉及的主要类及其结构,接下来以一个简单的POST请求探寻其内部是如何实现的。本例中直接使用iMac自带的Apache,并为其开启PHP支持。在服务器目录下编写index.php文件如下:。启动测试

crypond 2019-12-04

直接拿来用!最火的iOS开源项目(一)

今天,我们将介绍20个在GitHub上非常受开发者欢迎的iOS开源项目。在结束了GitHub平台上“最受欢迎的Android开源项目”系列盘点之后,我们正式迎来了“GitHub上最受欢迎的iOS开源项目”系列盘点。AFNetworking是一个轻量级的iO

陈凯昂 2013-07-17

AFNetwork 作用和用法详解

AFNetworking是一个轻量级的iOS网络通信类库。它建立在NSURLConnection和NSOperation等类库的基础上,让很多网络通信功能的实现变得十分简单。它支持HTTP请求和基于REST的网络服务。2>如果返回格式不是JSON的,

yuj00 2015-05-14

AFNetworking 异步请求远程数据

- (void) sendRequestByNet:(NSString *) beginNum setDepartId:(NSString *)departmentId. NSString *url = @"url";parameter

zoutian00 2015-05-12

[IOS]使用pod后library版本变化

使用pod install update library后,会出现clang错误,version不被支持.这是由于target的version和pod install不一致导致,常见于更改target version后没有及时pod install. 解决

wangzhen 2018-12-24

AFNetWorking

对 NSURLConnection 和 NSURLSession 的封装,iOS 9 之后删除了 NSURLConnection 的支持,完全基于 NSURLSession 的 API.

crypond 2018-08-23

AFNetworking源码学习

简介AFNetWorking是使用Objective-c开发iOS程序主流的网络请求开源库。AFNetworking组织结构AFNetWorking主要分为5个部分。NSURLSession、Reachability、security、Serializat

crypond 2019-07-01

AFNetworking源码!解析

上海快30岁了月入3W, 为什么还是焦虑?你焦虑, 是因为你月入三万的姿势不对!如果你月入三万的组成是:月薪1万, 另外四套房子租金两万, 绝对不会焦虑.这篇文章主要对AFNetworking的对外接口和请求处理文件进行阅读, 会拿出里面的优秀的技术点进行

zuojinmin 2019-06-26

Git开源三方库

跨平台Js bridge新秀-DSBridge IOS篇DSBridge是目前地球上最好的IOS/Android javascript bridge. 没有之一 !依然是博客搬家,若已阅读过,请跳过。简单且强大的弹窗动画库轻量级的弹窗动画库,接口简单,高度

大黑 2019-06-26

Objective-C 和 Swift 第三方库使用

注1:文章写于2016年9月,不同版本可能不同,仅作参考。注2:个人总结出的最好方式是使用cocoapods,没有用过的请参看之前的文章。OC 第三方框架以 AFNetworking 3.1.0 为例。Swift 第三方框架 Alamofire 4.0.0

86344553 2019-06-20

AFNetworking 全解析之RechabilityManager

一个关于AFNetworking的系列AFNetworking框架是一个使用非常广泛的框架,现在几乎已经占据了iOS开发中网络层的主导地位,成为行业标准。究其原因,其代码本身的质量非常高,设计非常优秀,使用也非常方便。我们平时在网上看到的大多是如何来使用A

wangzhen 2019-06-20

AFNetworking 原作者都无法解决的问题: 如何使用ip直接访问https网站?

/** 可信任的域名,用于支持通过ip访问此域名下的https链接.Trusted domain, this domain for support via IP access HTTPS links.Add trusted domain name to s

陈凯昂 2019-06-20

[IOS]使用pod后library版本变化

使用pod install update library后,会出现clang错误,version不被支持.这是由于target的version和pod install不一致导致,常见于更改target version后没有及时pod install. 解决

crypond 2018-12-24

AFNetworking设置header

在调接口时,碰到以下异常,是因为xcode中info.plist文件中没有设置限制https请求。

zoutian00 2016-09-29

项目中使用cocoapods 导入AFNetworking

第一次使用会卡住。每个项目都有一个Podfile文件,用于控制CocoaPods该下载什么。这就创建了一个新的podFile并且在Xcode中打开它。完成后打开xcworkspace就会看到你要的AFNetWorking以下载好在Pods文件夹下[/siz

daiyelang 2016-08-13

用AFNetworking框架管理从聚合数据上面请求到的数据

数据从JSON文档中读取处理的过程称为“解码”过程,即解析和读取过程,来看一下如果利用AFNetworking框架去管理从聚合数据上面请求到的数据。该餐饮美食API会返回上图所示的参数,可以根据实际需要来使用。

倾城一屁博妹一笑 2016-08-11

IOS好控件

1.AFNetworking地址:https://github.com/AFNetworking/AFNetworking用于网络请求 2.JSONKit地址:https://github.com/johnezang/JSONKit解析JSON 3.R

wangzhen 2016-05-24

iOS开发-AFNetWorking 3.0在CocoaPods上的坑

AFNetWorking在10月份的时候发布了3.0测试版,在十二月份11号到十19号连续发布了3.0.0到3.0.4五个正式版本,不可谓不速度。降低版本如果AFNetWorkinga版本太高,那么就降版本,设置为2.6.0,稍等一会就安装成功,这个时候反

zoutian00 2016-05-03

ios好用的第三方工具,整理方便以后查询

MJRefresh主要用于刷新操作,提供了常用的刷新操作,还有刷新动画,用着很好用。建议把方法封装在BaseViewController中,这样修改刷新操作时,就只需要改动一份。

郎lang郎 2016-04-20

(原创)ld: library not found for -lXXXXX 编译问题的解决方法

方法一:点击 XCode 工程文件,在 Build Phases 中查看 “Link binary With Libraries”

crypond 2016-02-20
倾城一屁博妹一笑

倾城一屁博妹一笑

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号