蘋果ATS對SSL/TLS的安全檢測要求

時間 2019-11-10

標籤蘋果 ats ssl tls 安全檢測要求欄目 SSL 简体版

原文原文鏈接

蘋果(Apple)公司一貫有着對安全性要求極高的著稱，若是你申請了SSL證書而且部署到服務器中，但這並不意味SSL部署符合Apple ATS的檢測要求，Apple對證書算法、有效期、加密套件、SSL安全漏洞都有極嚴格的要求。算法

Apple ATS全App Transport Security，即ATS，是蘋果公司在iOS 9和Mac OS X 10.11(El Capitan)中推出的一個新的安全標準。總的來講知足前向安全性(Forward Secrecy)加密技術、服務器使用最新的TLS1.2安全協議、SHA256以上的證書籤名算法三個要點便可，shell

使用在線工具可檢查結果：https://infinisign.com/tools/sslcheck/?lang=cnapache

證書基本要求

經Apple ATS信任的CA機構簽發的SSL數字，詳情查看：iOS 中可用的受信任根證書列表[](https://support.apple.com/zh-...
簽發證書的通用名稱證書與域名匹配，很是重要；
證書時間有效，使用在線工具檢查；
證書公鑰算法使用RSA 2048位及以上，或使用更高的算法ECC 256加密算法；
使用SHA2級別的證書籤名算法，例如SHA-256, SHA-512等；

服務器配置項

開啓服務器SSL/TLS要求的端口例如443，8443等並助部署支持https協議
支持TLS1.0, TLS1.1, TLS1.2，禁用SSL3.0和SSL2.0
支持前向安全性
iOS 密碼套件支持
RSA算法要求使用如下加密套件：
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
DSA算法要求使用如下加密套件：
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAwindows

重要配置項檢查

Apache配置項

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

Nginx配置項

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

Tomcat要求環境 tomcat7+和JDK1.7+，配置參考以下：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="keystore/domain.jks" keystorePass="證書密碼"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
SSL_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />