Làm cách nào để sử dụng NSURLCconnectection để kết nối với SSL cho chứng chỉ không đáng tin cậy?

Tôi có mã đơn giản sau để kết nối với trang web SSL

NSMutableURLRequest *urlRequest=[NSMutableURLRequest requestWithURL:url];
[ NSURLConnection sendSynchronousRequest: urlRequest returningResponse: nil error: &error ];

Ngoại trừ nó có lỗi nếu chứng chỉ là tự ký Error Domain=NSURLErrorDomain Code=-1202 UserInfo=0xd29930 "untrusted server certificate".Có cách nào để thiết lập nó chấp nhận kết nối không (giống như trong trình duyệt bạn có thể nhấn chấp nhận) hoặc cách bỏ qua nó?

Có một API được hỗ trợ để thực hiện điều này! Thêm một cái gì đó như thế này cho NSURLConnectionđại biểu của bạn :

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace {
  return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust];
}

- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
  if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust])
    if ([trustedHosts containsObject:challenge.protectionSpace.host])
      [challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge];

  [challenge.sender continueWithoutCredentialForAuthenticationChallenge:challenge];
}

Lưu ý rằng connection:didReceiveAuthenticationChallenge:có thể gửi tin nhắn của mình đến thử thách. Gửi lại (nhiều) sau, sau khi trình bày hộp thoại cho người dùng nếu cần, v.v.

Nếu bạn không muốn (hoặc không thể) sử dụng API riêng, có thư viện mã nguồn mở (giấy phép BSD) có tên ASIHTTPRequest cung cấp trình bao bọc xung quanh cấp thấp hơn CFNetwork APIs. Gần đây, họ đã giới thiệu khả năng cho phép HTTPS connectionssử dụng các chứng chỉ tự ký hoặc không tin cậy với -setValidatesSecureCertificate:API. Nếu bạn không muốn lấy toàn bộ thư viện, bạn có thể sử dụng nguồn làm tài liệu tham khảo để tự thực hiện chức năng tương tự.

Lý tưởng nhất, chỉ nên có hai kịch bản khi một ứng dụng iOS cần chấp nhận chứng chỉ không đáng tin cậy.

Kịch bản A: Bạn được kết nối với môi trường thử nghiệm đang sử dụng chứng chỉ tự ký.

Kịch bản B: Bạn đang HTTPSlưu lượng truy cập MITM Proxy like Burp Suite, Fiddler, OWASP ZAP, etc.Proxy bằng cách sử dụng Proxy sẽ trả lại chứng chỉ được ký bởi CA tự ký để proxy có thể nắm bắt HTTPSlưu lượng.

Máy chủ sản xuất không bao giờ nên sử dụng chứng chỉ không đáng tin cậy vì lý do rõ ràng .

Nếu bạn cần phải có trình giả lập iOS chấp nhận chứng chỉ không đáng tin cậy cho mục đích thử nghiệm, bạn không nên thay đổi logic ứng dụng để vô hiệu hóa xác thực chứng chỉ tích hợp do NSURLConnectionAPI cung cấp . Nếu ứng dụng được phát hành ra công chúng mà không loại bỏ logic này, nó sẽ dễ bị tấn công giữa chừng.

Cách được đề xuất để chấp nhận chứng chỉ không đáng tin cậy cho mục đích thử nghiệm là nhập chứng chỉ Tổ chức phát hành chứng chỉ (CA) đã ký chứng chỉ vào Trình mô phỏng iOS hoặc thiết bị iOS của bạn. Tôi đã viết một bài đăng blog nhanh trong đó trình bày cách thực hiện điều này mà Trình mô phỏng iOS tại:

chấp nhận chứng chỉ không tin cậy bằng trình giả lập ios

NSURLRequestcó một phương thức riêng được gọi setAllowsAnyHTTPSCertificate:forHost:, phương thức này sẽ thực hiện chính xác những gì bạn muốn. Bạn có thể xác định allowsAnyHTTPSCertificateForHost:phương thức trên NSURLRequestthông qua một danh mục và đặt nó trở lại YEScho máy chủ mà bạn muốn ghi đè.

Để bổ sung cho câu trả lời được chấp nhận, để bảo mật tốt hơn nhiều, bạn có thể thêm chứng chỉ máy chủ hoặc chứng chỉ CA gốc của mình vào móc khóa ( https://stackoverflow.com/a/9941559/1432048 ), tuy nhiên, việc này một mình sẽ không tạo ra kết nối NSURLC tự động xác thực máy chủ tự ký của bạn. Bạn vẫn cần thêm mã dưới đây vào đại biểu NSURLConnection của mình, mã này được sao chép từ mã mẫu AdvancedURLConnections của Apple và bạn cần thêm hai tệp (Credentials.h, Credentials.m) từ mã mẫu táo vào các dự án của bạn.

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace {
return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust];
}

- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
//        if ([trustedHosts containsObject:challenge.protectionSpace.host])

    OSStatus                err;
    NSURLProtectionSpace *  protectionSpace;
    SecTrustRef             trust;
    SecTrustResultType      trustResult;
    BOOL                    trusted;

    protectionSpace = [challenge protectionSpace];
    assert(protectionSpace != nil);

    trust = [protectionSpace serverTrust];
    assert(trust != NULL);
    err = SecTrustEvaluate(trust, &trustResult);
    trusted = (err == noErr) && ((trustResult == kSecTrustResultProceed) || (trustResult == kSecTrustResultUnspecified));

    // If that fails, apply our certificates as anchors and see if that helps.
    //
    // It's perfectly acceptable to apply all of our certificates to the SecTrust
    // object, and let the SecTrust object sort out the mess.  Of course, this assumes
    // that the user trusts all certificates equally in all situations, which is implicit
    // in our user interface; you could provide a more sophisticated user interface
    // to allow the user to trust certain certificates for certain sites and so on).

    if ( ! trusted ) {
        err = SecTrustSetAnchorCertificates(trust, (CFArrayRef) [Credentials sharedCredentials].certificates);
        if (err == noErr) {
            err = SecTrustEvaluate(trust, &trustResult);
        }
        trusted = (err == noErr) && ((trustResult == kSecTrustResultProceed) || (trustResult == kSecTrustResultUnspecified));
    }
    if(trusted)
        [challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge];
}

[challenge.sender continueWithoutCredentialForAuthenticationChallenge:challenge];
}

Tôi không thể nhận bất kỳ khoản tín dụng nào cho việc này, nhưng khoản này tôi thấy hoạt động thực sự tốt cho nhu cầu của mình. shouldAllowSelfSignedCertlà BOOLbiến của tôi Chỉ cần thêm vào NSURLConnectionđại biểu của bạn và bạn sẽ được rockin để bỏ qua nhanh trên cơ sở kết nối.

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)space {
     if([[space authenticationMethod] isEqualToString:NSURLAuthenticationMethodServerTrust]) {
          if(shouldAllowSelfSignedCert) {
               return YES; // Self-signed cert will be accepted
          } else {
               return NO;  // Self-signed cert will be rejected
          }
          // Note: it doesn't seem to matter what you return for a proper SSL cert
          //       only self-signed certs
     }
     // If no other authentication is required, return NO for everything else
     // Otherwise maybe YES for NSURLAuthenticationMethodDefault and etc.
     return NO;
}

Trong iOS 9, các kết nối SSL sẽ thất bại đối với tất cả các chứng chỉ không hợp lệ hoặc tự ký. Đây là hành vi mặc định của tính năng Bảo mật Vận chuyển Ứng dụng mới trong iOS 9.0 trở lên và trên OS X 10.11 trở lên.

Bạn có thể ghi đè hành vi này trong Info.plist, bằng cách đặt NSAllowsArbitraryLoadsthành YEStrong NSAppTransportSecuritytừ điển. Tuy nhiên, tôi khuyên bạn nên ghi đè cài đặt này chỉ cho mục đích thử nghiệm.

Để biết thông tin, xem App Transport Technote tại đây .

Cách giải quyết danh mục được đăng bởi Nathan de Vries sẽ vượt qua kiểm tra API riêng của AppStore và rất hữu ích trong trường hợp bạn không có quyền kiểm soát NSUrlConnectionđối tượng. Một ví dụ là NSXMLParsersẽ mở URL bạn cung cấp, nhưng không để lộ NSURLRequesthoặc NSURLConnection.

Trong iOS 4, cách giải quyết có vẻ vẫn hoạt động, nhưng chỉ trên thiết bị, Trình mô phỏng không gọi allowsAnyHTTPSCertificateForHost:phương thức này nữa.

Bạn phải sử dụng NSURLConnectionDelegateđể cho phép kết nối HTTPS và có các cuộc gọi lại mới với iOS8.

Không dùng nữa

connection:canAuthenticateAgainstProtectionSpace:
connection:didCancelAuthenticationChallenge:
connection:didReceiveAuthenticationChallenge:

Thay vào đó, bạn cần khai báo:

connectionShouldUseCredentialStorage: - Được gửi để xác định xem trình tải URL có nên sử dụng bộ lưu trữ thông tin xác thực để xác thực kết nối hay không.

connection:willSendRequestForAuthenticationChallenge: - Nói với đại biểu rằng kết nối sẽ gửi yêu cầu cho một thách thức xác thực.

Với willSendRequestForAuthenticationChallengebạn có thể sử dụng challengenhư bạn đã làm với các phương thức không dùng nữa, ví dụ:

// Trusting and not trusting connection to host: Self-signed certificate
[challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge];
[challenge.sender continueWithoutCredentialForAuthenticationChallenge:challenge];

Tôi đã đăng một số mã chính (dựa trên công việc của người khác mà tôi lưu ý) cho phép bạn xác thực chính xác với chứng chỉ tự tạo (và cách nhận chứng chỉ miễn phí - xem phần dưới cùng của Cocoanetic )

Mã của tôi ở đây github

Nếu bạn muốn tiếp tục sử dụng sendSynyncousRequest, tôi sẽ làm việc trong giải pháp này:

FailCertificateDelegate *fcd=[[FailCertificateDelegate alloc] init];

NSURLConnection *c=[[NSURLConnection alloc] initWithRequest:request delegate:fcd startImmediately:NO];
[c setDelegateQueue:[[NSOperationQueue alloc] init]];
[c start];    
NSData *d=[fcd getData];

bạn có thể thấy nó ở đây: Kết nối đồng bộ SSL Objective-C

Với AFNetworking, tôi đã sử dụng thành công dịch vụ web https với mã bên dưới,

NSString *aStrServerUrl = WS_URL;

// Initialize AFHTTPRequestOperationManager...
AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
manager.requestSerializer = [AFJSONRequestSerializer serializer];
manager.responseSerializer = [AFJSONResponseSerializer serializer];

[manager.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Content-Type"];
manager.securityPolicy.allowInvalidCertificates = YES; 
[manager POST:aStrServerUrl parameters:parameters success:^(AFHTTPRequestOperation *operation, id responseObject)
{
    successBlock(operation, responseObject);

} failure:^(AFHTTPRequestOperation *operation, NSError *error)
{
    errorBlock(operation, error);
}];

Bạn có thể sử dụng Mã này

-(void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
     if ([[challenge protectionSpace] authenticationMethod] == NSURLAuthenticationMethodServerTrust)
     {
         [[challenge sender] useCredential:[NSURLCredential credentialForTrust:[[challenge protectionSpace] serverTrust]] forAuthenticationChallenge:challenge];
     }
}

Sử dụng -connection:willSendRequestForAuthenticationChallenge:thay cho các Phương pháp không dùng nữa

Không dùng nữa

-(BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace  
-(void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge 
-(void)connection:(NSURLConnection *)connection didCancelAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge