苹果强制APP在2016年底使用ATS协议

2016-11-24, 发表于【行业常识】

苹果又下达最后通牒了:从2017 年1月1日起,所有提交的应用程序必须启用ATS安全功能,所有的连接都必须经过更安全的HTTPS,否则提交应用审核时将有可能会遇到麻烦。

话说回来,ATS是个什么?

ATS,即App Transport Security,是苹果推行的一项安全标准。ATS屏蔽HTTP明文传输协议的资源加载,因为HTTP采用明文传输协议是不安全的,连接必须改成更安全的HTTPS协议。

那么ATS的标准究竟有哪些呢?

我们可以看到标准中的第一项,就是HTTPS。

这就意味着,从2017年开始,苹果应用商店中的所有App,都必须采用HTTPS加密传输。从而引发了互联网全站HTTPS化的浪潮。

这从长远来看是一件好事,站在用户的角度,谁都不希望自己的通讯信息是明文传输的。如此雷厉风行,不愧是苹果的作风。


从ATS的几项要求来看,这其实是顺应并推动互联网潮流的一种做法。 采用TLS 1.2以上协议:由于SSL v3和SSL v2具有巨大的安全风险,尤其是SSL v3的“POODLE漏洞”造成的安全风险尤其严重,所以苹果要求应用连接采用TLS1.2以上协议来保证传输的安全性。


SHA 2的支持使用:其实从14年开始,证书厂家就逐步停止颁发SHA1的证书,新颁发的证书都是SHA2。非常巧合的是,从2017年1月1日起,证书将全面替换成SHA2。标准要求最低使用SHA 256哈希算法,和证书厂商的策略不谋而合。


此外,ATS标准的强制执行也能为开发者们扫除一些改造HTTPS的障碍


这个段子流传已久,运维们也困扰已久,有时为了兼顾一些低版本用户,不得不去牺牲一部分高版本用户的体验,有时真想一咬牙一狠心一刀切了,但是又不舍得。


ATS的强制执行会带来哪些变化呢? 某些低版本的浏览器和系统最高只支持TLS1.0版本,不支持SHA2证书。

ATS对于TLS协议和证书的高要求,会导致低版本用户访问HTTPS内容时出现问题。就像微软停服XP系统一样,这是一个趋势,会迫使低版本用户往高版本转变。