关于AFNetworking自签名证书的一点疑问

标签：with   code   date   另一个   instead   -o   更新   cti   绑定   

0x01 问题

如果使用自签名证书，需要在AFSecurityPolicy中允许无效证书：

AFSecurityPolicy* policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
[securityPolicy setAllowInvalidCertificates:YES];

实际情况下，网络请求依然失败，并且提示：

In order to validate a domain name for self signed certificates, you MUST use pinning.

0x02 伪方案：validatesDomainName

网上查询资料，大多数答案都说需要把域名验证关闭：

[securityPolicy setValidatesDomainName:NO];

这样做网络请求确实成功了，但是实际上自签名证书也是可以包含域名的，即Common Name（CN）字段。理论上这个validatesDomainName属性应当与自签名无关。

查看AFSecurityPolicy源码，发现当使用自签名证书时，如果validatesDomainName值为YES，会直接网络请求失败：

- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
                  forDomain:(NSString *)domain
{
                    if (domain && self.allowInvalidCertificates && self.validatesDomainName && (self.SSLPinningMode == AFSSLPinningModeNone || [self.pinnedCertificates count] == 0)) {
        // https://developer.apple.com/library/mac/documentation/NetworkingInternet/Conceptual/NetworkingTopics/Articles/OverridingSSLChainValidationCorrectly.html
        //  According to the docs, you should only trust your provided certs for evaluation.
        //  Pinned certificates are added to the trust. Without pinned certificates,
        //  there is nothing to evaluate against.
        //
        //  From Apple Docs:
        //          "Do not implicitly trust self-signed certificates as anchors (kSecTrustOptionImplicitAnchors).
        //           Instead, add your own (self-signed) CA certificate to the list of trusted anchors."
        NSLog(@"In order to validate a domain name for self signed certificates, you MUST use pinning.");
        return NO;
    }
                    

根据注释信息可以看到，AFNetworking要求对一个自签名证书的域名验证是要走证书绑定模式。推测这么做是为了安全方面的考量，如果使用自签名证书，不验证证书的有效性，无法避免中间人攻击，强制证书绑定可以避免这个问题。

至于设置validatesDomainName为NO网络请求就能成功，因为它能够破坏AFNetworking的限制条件，证书验证能够执行且不验证域名。从另一个方面说，既然不验证证书有效性也不验证域名，使用者对中间人攻击已经不关心了，网络请求能够成功也没问题。

0x03 自签名证书使用证书绑定模式流程

将cer格式证书拖到工程内，新建AFSSLPinningModePublicKey或AFSSLPinningModeCertificate模式的AFSecurityPolicy，设置允许无效证书：

AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
[securityPolicy setAllowInvalidCertificates:YES];

新版的AFNetworking会自动扫描工程中的cer证书文件，并将证书数据设置到属性中：

@property (nonatomic, strong, nullable) NSSet  *pinnedCertificates;

这样就完成了。

0x04 总结

AFNetworking使用自签名证书，推荐使用证书绑定模式。如果担心证书更新问题或不关心中间人攻击，可以选择不绑定证书，设置不验证域名。

生成自签名证书： https://ningyu1.github.io/site/post/51-ssl-cert/

关于AFNetworking自签名证书的一点疑问

标签：with   code   date   另一个   instead   -o   更新   cti   绑定   

原文地址：https://www.cnblogs.com/-zyb/p/13098636.html