自簽名的https證書是不安全的

1、項目內的需求

咱們作的app都是企業級的應用，而企業級的應用的下載須要遵循itms協議，itms協議下須要https連接，這就須要你的服務器支持https的協議，該協議須要申請SSL證書，咱們測試時用的是自簽名的證書，而自簽名的證書原本就就存在不安全行，自從ios10.3更新以來即便安裝了自簽名的證書也報錯，說沒法下載app,是由於蘋果阻止了不受信任的證書

2、解決方案

一、自簽名的證書，須要手動的爲證書打開信任，通用->關於本機->證書信任設置->證書打開信任

二、申請可信任的證書像StartCom的證書，固然會很貴，關於ios中可用的受信任的根證書列表，能夠參考蘋果的官方的文檔

https://support.apple.com/zh-cn/HT208125

3、自簽名的證書爲何是不安全的

一、自簽證書最容易受到SSL中間人攻擊

自簽證書是不會被瀏覽器所信任的證書，用戶在訪問自簽證書時，瀏覽器會警告用戶此證書不受信任，須要人工確認是否信任此證書。全部使用自簽證書的網站都明確地告訴用戶出現這種狀況，用戶必須點信任並繼續瀏覽！這就給中間人攻擊形成了可之機。

二、自簽證書支持不安全的SSL通訊從新協商機制

幾乎全部使用自籤SSL證書的服務器都存在不安全的SSL通訊從新協商安全漏洞，這是SSL協議的安全漏洞，因爲自簽證書系統並無跟蹤最新的技術而沒有及時補漏！此漏洞會被黑客利用而截獲用戶的加密信息，如銀行帳戶和密碼等，很是危險，必定要及時修補。

三、自簽證書使用不安全的1024位非對稱密鑰對

而目前幾乎全部自簽證書都是1024位，自籤根證書也都是1024位，固然都是不安全的。仍是那句話：因爲部署自籤SSL證書而沒法得到專業SSL證書提供商的專業指導，根本就不知道1024位已經不安全了

四、自簽證書證書有效期太長

自簽證書中還有一個廣泛的問題是證書有效期太長，短則5年，長則20年、30年的都有，而且還都是使用不安全1024位加密算法。多是自簽證書製做時反正又不要錢，就多發幾年吧，而根本不知道PKI技術標準中爲什麼要限制證書有效期的基本原理是：有效期越長，就越有可能被黑客破解，由於他有足夠長的時間(20年)來破解你的加密。