自簽名的https認證是不安全的，簽名https認證

自簽名的https認證是不安全的，簽名https認證

一、項目內的需求

我們做的app都是企業級的應用，而企業級的應用的下載需要遵循itms協議，itms協議下需要https連結，這就需要你的伺服器支援https的協議，該協議需要申請SSL認證，我們測試時用的是自簽名的認證，而自簽名的認證本來就就存在不安全行，自從ios10.3更新以來即使安裝了自簽名的認證也報錯，說無法下載app,是因為蘋果阻止了不受信任的認證

二、解決方案

1、自簽名的認證，需要手動的為認證開啟信任，通用->關於本機->認證信任設定->認證開啟信任

2、申請可信任的認證像StartCom的認證，當然會很貴，關於ios中可用的受信任的根憑證列表，可以參考蘋果的官方的文檔

https://support.apple.com/zh-cn/HT208125

三、自簽名的認證為什麼是不安全的

1、自簽認證最容易受到SSL中間人攻擊

自簽認證是不會被瀏覽器所信任的認證，使用者在訪問自簽認證時，瀏覽器會警告使用者此認證不受信任，需要人工確認是否信任此認證。所有使用自簽認證的網站都明確地告訴使用者出現這種情況，使用者必須點信任並繼續瀏覽！這就給中間人攻擊造成了可之機。

2、自簽認證支援不安全的SSL通訊重新協商機制

幾乎所有使用自簽SSL認證的伺服器都存在不安全的SSL通訊重新協商安全性漏洞，這是SSL協議的安全性漏洞，由於自簽認證系統並沒有跟蹤最新的技術而沒有及時補漏！此漏洞會被駭客利用而截獲使用者的加密資訊，如銀行賬戶和密碼等，非常危險，一定要及時修補。

3、自簽認證使用不安全的1024位非對稱金鑰對

而目前幾乎所有自簽認證都是1024位，自簽根憑證也都是1024位，當然都是不安全的。還是那句話：由於部署自簽SSL認證而無法獲得專業SSL認證供應商的專業指導，根本就不知道1024位已經不安全了

4、自簽認證認證有效期間太長

自簽認證中還有一個普遍的問題是認證有效期間太長，短則5年，長則20年、30年的都有，並且還都是使用不安全1024位密碼編譯演算法。可能是自簽認證製作時反正又不要錢，就多發幾年吧，而根本不知道PKI技術標準中為何要限制認證有效期間的基本原理是：有效期間越長，就越有可能被駭客破解，因為他有足夠長的時間(20年)來破解你的加密。