在 WWDC 2016 开发者大会上,苹果宣布了一个最后期限:到2017年1月1日 App Store中的所有应用都必须启用 App Transport Security安全功能。苹果目前允许开发者暂时关闭 ATS,可以继续使用 HTTP 连接,但到年底所有官方商店的应用都必须强制性使用 ATS,否则极有可能被拒。
不过日前在旗下开发者网站上,苹果表示他们将会给开发者更多时间去启用 App Transport Security安全功能,也就是说苹果将会延长最后期限的时间,至于延长到什么时候,苹果并没有说明具体时间。或许苹果会在 2017 年的 WWDC 大会上重新宣布一个时间。
为什么强制使用HTTPS
简单地说,HTTP是明文协议,通过该协议传输的数据处在被窃听、篡改、冒充这三大风险中,已经是非常不安全的传输协议。HTTPS是加密协议,就是在HTTP的基础上开启一条SSL加密通道,让原本明文“裸奔”的数据,从加密通道中密文传输,保证了数据传输的安全性。
目前,全球互联网正在进行从HTTP到HTTPS的大迁移,苹果一向非常关注用户隐私安全,在执行安全策略方面,态度也是非常强硬,实施强制HTTPS加密势在必行。
苹果ATS安全设置的要求
服务器必须支持传输层安全(TLS)协议1.2以上版本;
通讯加密套件仅限支持完全正向加密的套件;
证书必须使用SHA256或更高的哈希算法签名;以及2048位以上RSA密钥或256位以上ECC密钥。