這篇文章是我一邊學習證書驗證一邊記錄的內容,
稍微整理了下,共扯了三部分內容:
- HTTPS 簡要原理;
- 數字證書的內容、生成及驗證;
- iOS 上對證書鏈的驗證。
HTTPS 概要
HTTPS 是執行在 TLS/SSL 之上的 HTTP,與普通的 HTTP 相比,在資料傳輸的安全性上有很大的提升。
要了解它安全性的巧妙之處,需要先簡單地瞭解對稱加密和非對稱加密的區別:
- 對稱加密只有一個金鑰,加密和解密都用這個金鑰;
- 非對稱加密有公鑰和私鑰,私鑰加密後的內容只有公鑰才能解密,公鑰加密的內容只有私鑰才能解密。
為了提高安全性,我們常用的做法是使用對稱加密的手段加密資料。可是隻使用對稱加密的話,雙方通訊的開始總會以明文的方式傳輸金鑰。那麼從一開始這個金鑰就洩露了,談不上什麼安全。所以 TLS/SSL 在握手的階段,結合非對稱加密的手段,保證只有通訊雙方才知道對稱加密的金鑰。大概的流程如下:
所以,HTTPS 實現傳輸安全的關鍵是:在 TLS/SSL 握手階段保證僅有通訊雙方得到 Session Key!
數字證書的內容
X.509 應該是比較流行的 SSL 數字證書標準,包含(但不限於)以下的欄位:
欄位 | 值說明 |
---|---|
物件名稱(Subject Name) | 用於識別該數字證書的資訊 |
共有名稱(Common Name) | 對於客戶證書,通常是相應的域名 |
證書頒發者(Issuer Name) | 釋出並簽署該證書的實體的資訊 |
簽名演算法(Signature Algorithm) | 簽名所使用的演算法 |
序列號(Serial Number) | 數字證書機構(Certificate Authority, CA)給證書的唯一整數,一個數字證書一個序列號 |
生效期(Not Valid Before) | (`・ω・´) |
失效期(Not Valid After) | (╯°口°)╯(┴—┴ |
公鑰(Public Key) | 可公開的金鑰 |
簽名(Signature) | 通過簽名演算法計算證書內容後得到的資料,用於驗證證書是否被篡改 |
除了上述所列的欄位,還有很多擴充欄位,在此不一一詳述。
下圖為 Wikipedia 的公鑰證書:
數字證書的生成及驗證
數字證書的生成是分層級的,下一級的證書需要其上一級證書的私鑰簽名。
所以後者是前者的證書頒發者,也就是說上一級證書的 Subject Name 是其下一級證書的 Issuer Name。
在得到證書申請者的一些必要資訊(物件名稱,公鑰私鑰)之後,證書頒發者通過 SHA-256 雜湊得到證書內容的摘要,再用自己的私鑰給這份摘要加密,得到數字簽名。綜合已有的資訊,生成分別包含公鑰和私鑰的兩個證書。
扯到這裡,就有幾個問題:
問:如果說釋出一個數字證書必須要有上一級證書的私鑰加密,那麼最頂端的證書——根證書怎麼來的?
根證書是自簽名的,即用自己的私鑰簽名,不需要其他證書的私鑰來生成簽名。
問:怎麼驗證證書是有沒被篡改?
當客戶端走 HTTPS 訪問站點時,伺服器會返回整個證書鏈。以下圖的證書鏈為例:
要驗證
*.wikipedia.org
這個證書有沒被篡改,就要用到GlobalSign Organization Validation CA - SHA256 - G2
提供的公鑰解密前者的簽名得到摘要 Digest1,我們的客戶端也計算前者證書的內容得到摘要 Digest2。對比這兩個摘要就能知道前者是否被篡改。後者同理,使用GlobalSign Root CA
提供的公鑰驗證。當驗證到到受信任的根證書時,就能確定*.wikipedia.org
這個證書是可信的。
問:為什麼上面那個根證書 GlobalSign Root CA
是受信任的?
數字證書認證機構(Certificate Authority, CA)簽署和管理的 CA 根證書,會被納入到你的瀏覽器和作業系統的可信證書列表中,並由這個列表判斷根證書是否可信。所以不要隨便匯入奇奇怪怪的根證書到你的作業系統中。
問:生成的數字證書(如 *.wikipedia.org
)都可用來簽署新的證書嗎?
不一定。如下圖,擴充欄位裡面有個叫 Basic Constraints 的資料結構,裡面有個欄位叫路徑長度約束(Path Length Constraint),表明了該證書能繼續簽署 CA 子證書的深度,這裡為0,說明這個
GlobalSign Organization Validation CA - SHA256 - G2
只能簽署客戶端證書,而客戶端證書不能用於簽署新的證書,CA 子證書才能這麼做。
iOS 上對證書鏈的驗證
在 Overriding TLS Chain Validation Correctly 中提到:
When a TLS certificate is verified, the operating system verifies its chain of trust. If that chain of trust contains only valid certificates and ends at a known (trusted) anchor certificate, then the certificate is considered valid.
所以在 iOS 中,證書是否有效的標準是:
信任鏈中如果只含有有效證書並且以可信錨點(trusted anchor)結尾,那麼這個證書就被認為是有效的。
其中可信錨點指的是系統隱式信任的證書,通常是包括在系統中的 CA 根證書。不過你也可以在驗證證書鏈時,設定自定義的證書作為可信的錨點。
NSURLSession 實現 HTTPS
具體到使用 NSURLSession 走 HTTPS 訪問網站,-URLSession:didReceiveChallenge:completionHandler:
回撥中會收到一個 challenge,也就是質詢,需要你提供認證資訊才能完成連線。這時候可以通過 challenge.protectionSpace.authenticationMethod
取得保護空間要求我們認證的方式,如果這個值是 NSURLAuthenticationMethodServerTrust
的話,我們就可以插手 TLS 握手中“驗證數字證書有效性”這一步。
預設的實現
系統的預設實現(也即代理不實現這個方法)是驗證這個信任鏈,結果是有效的話則根據 serverTrust 建立 credential 用於同服務端確立 SSL 連線。否則會得到 “The certificate for this server is invalid…” 這樣的錯誤而無法訪問。
比如在訪問 https://www.google.com 的時候咧,我們不實現這個方法也能訪問成功的。系統對 Google 伺服器返回來的證書鏈,從葉節點證書往根證書層層驗證(有效期、簽名等等),遇到根證書時,發現作為可信錨點的它存在與可信證書列表中,那麼驗證就通過,允許與服務端建立連線。
而當我們訪問 https://www.12306.cn 時,就會出現 “The certificate for this server is invalid. You might be connecting to a server that is pretending to be “www.12306.cn” which could put your confidential information at risk.” 的錯誤。原因就是系統在驗證到根證書時,發現它是自簽名、不可信的。
自定義實現
如果我們要實現這個代理方法的話,需要提供 NSURLSessionAuthChallengeDisposition(處置方式)和 NSURLCredential(資格認證)這兩個引數給 completionHandler 這個 block:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
-(void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential * _Nullable))completionHandler { // 如果使用預設的處置方式,那麼 credential 就會被忽略 NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling; NSURLCredential *credential = nil; if ([challenge.protectionSpace.authenticationMethod isEqualToString: NSURLAuthenticationMethodServerTrust]) { /* 呼叫自定義的驗證過程 */ if ([self myCustomValidation:challenge]) { credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; if (credential) { disposition = NSURLSessionAuthChallengeUseCredential; } } else { /* 無效的話,取消 */ disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge } } if (completionHandler) { completionHandler(disposition, credential); } } |
在 [self myCustomValidation:challenge]
呼叫自定義驗證過程,結果是有效的話才建立 credential 確立連線。
自定義的驗證過程,需要先拿出一個 SecTrustRef 物件,它是一種執行信任鏈驗證的抽象實體,包含著驗證策略(SecPolicyRef)以及一系列受信任的錨點證書,而我們能做的也是修改這兩樣東西而已。
1 |
SecTrustRef trust = challenge.protectionSpace.serverTrust; |
拿到 trust 物件之後,可以用下面這個函式對它進行驗證。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
static BOOL serverTrustIsVaild(SecTrustRef trust) { BOOL allowConnection = NO; // 假設驗證結果是無效的 SecTrustResultType trustResult = kSecTrustResultInvalid; // 函式的內部遞迴地從葉節點證書到根證書的驗證 OSStatus statue = SecTrustEvaluate(trust, &trustResult); if (statue == noErr) { // kSecTrustResultUnspecified: 系統隱式地信任這個證書 // kSecTrustResultProceed: 使用者加入自己的信任錨點,顯式地告訴系統這個證書是值得信任的 allowConnection = (trustResult == kSecTrustResultProceed || trustResult == kSecTrustResultUnspecified); } return allowConnection; } |
這個函式什麼時候呼叫完全取決於你的需求,如果你不想對驗證策略做修改而直接呼叫的話,那你居然還看到這裡!?(╯‵□′)╯︵┻━┻
域名驗證
可以通過以下的程式碼獲得當前的驗證策略:
1 2 |
CFArrayRef policiesRef; SecTrustCopyPolicies(trust, &policiesRef); |
列印 policiesRef 後,你會發現預設的驗證策略就包含了域名驗證,即“伺服器證書上的域名和請求域名是否匹配”。如果你的一個證書需要用來連線不同域名的主機,或者你直接用 IP 地址去連線,那麼你可以重設驗證策略以忽略域名驗證:
1 2 3 4 5 6 |
NSMutableArray *policies = [NSMutableArray array]; // BasicX509 不驗證域名是否相同 SecPolicyRef policy = SecPolicyCreateBasicX509(); [policies addObject:(__bridge_transfer id)policy]; SecTrustSetPolicies(trust, (__bridge CFArrayRef)policies); |
然後再呼叫 serverTrustIsVaild()
驗證。
但是如果不驗證域名的話,安全性就會大打折扣。拿瀏覽器舉?:
試想你要傳輸報文到 https://www.real-website.com ,然而由於域名劫持,把你帶到了 https://www.real-website.cn 這個?網站,大概有以下兩種結果:
- 這個偽造網站的證書是非 CA 頒佈的偽造證書的話,那麼瀏覽器會提醒你這個證書不可信;
- 這個偽造網站也使用了 CA 頒佈的證書,由於我們不做域名驗證,你的瀏覽器不會有任何的警告。
你可能會問:公鑰證書是每個人都能得到的,釣魚網站能不能返回真正的公鑰證書給我們呢?
我覺得是可以的,然而這並沒有什麼卵用。沒有私鑰的釣魚伺服器無法獲得第三個隨機數,無法生成 Session Key,也就不能對我們傳給它的資料進行解密了。
自簽名的證書鏈驗證
在 App 中想要防止上面提到的中間人公雞攻擊,比較好的做法是將公鑰證書打包進 App 中,然後在收到服務端證書鏈的時候,能夠有效地驗證服務端是否可信,這也是驗證自簽名的證書鏈所必須做的。
假設你的伺服器返回:[你的自簽名的根證書] — [你的二級證書] — [你的客戶端證書],系統是不信任這個三個證書的。
所以你在驗證的時候需要將這三個的其中一個設定為錨點證書,當然,多個也行。
比如將 [你的二級證書] 作為錨點後,SecTrustEvaluate()
函式只要驗證到 [你的客戶端證書] 確實是由 [你的二級證書] 簽署的,那麼驗證結果為 kSecTrustResultUnspecified
,表明了 [你的客戶端證書] 是可信的。下面是設定錨點證書的做法:
1 2 3 4 5 6 7 8 9 10 |
NSMutableArray *certificates = [NSMutableArray array]; NSDate *cerData = /* 在 App Bundle 中你用來做錨點的證書資料,證書是 CER 編碼的,常見副檔名有:cer, crt...*/ SecCertificateRef cerRef = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)cerData); [certificates addObject:(__bridge_transfer id)cerRef]; // 設定錨點證書。 SecTrustSetAnchorCertificates(trust, (__bridge CFArrayRef)certificates); |
只呼叫 SecTrustSetAnchorCertificates ()
這個函式的話,那麼就只有作為引數被傳入的證書作為錨點證書,連繫統本身信任的 CA 證書不能作為錨點驗證證書鏈。要想恢復系統中 CA 證書作為錨點的功能,還要再呼叫下面這個函式:
1 2 |
// true 代表僅被傳入的證書作為錨點,false 允許系統 CA 證書也作為錨點 SecTrustSetAnchorCertificatesOnly(trust, false); |
這樣,再呼叫 serverTrustIsVaild()
驗證證書有效性就能成功了。
CA 證書鏈的驗證
上面說的是沒經過 CA 認證的自簽證書的驗證,而 CA 的證書鏈的驗證方式也是一樣,不同點在不可信錨點的證書型別不一樣而已:前者的錨點是自籤的需要被打包進 App 用於驗證,後者的錨點可能本來就存在系統之中了。不過我腦補了這麼的一個坑:
假如我們使用的是 CA 根證書籤署的數字證書,而且只用這個 CA 根證書作為錨點,在不驗證域名的情況下,是不是就會在握手階段信任被同一個 CA 根證書籤名的偽造證書呢?
參考閱讀
Overriding TLS Chain Validation Correctly
上文有什麼我理解得不正確、或表達不準確的地方,煩請指教。?