Jak korzystać z NSURLConnection, aby połączyć się z SSL dla niezaufanego cert?

Jeśli nie chcesz (lub nie możesz) używać prywatnych interfejsów API, istnieje biblioteka open source (licencja BSD) o nazwie ASIHTTPRequest , która zapewnia owijkę wokół niższego poziomu CFNetwork APIs. Niedawno wprowadzono możliwość zezwalania HTTPS connections na używanie certyfikatów podpisanych samodzielnie lub niezaufanych z API -setValidatesSecureCertificate:. Jeśli nie chcesz ciągnąć całej biblioteki, możesz użyć źródła jako odniesienia do implementacji tej samej funkcjonalności samodzielnie.

Najlepiej byłoby, gdyby istniały tylko dwa scenariusze, w których aplikacja na iOS musiałaby zaakceptować niezaufany certyfikat.

Scenariusz a: jesteś podłączony do środowiska testowego, które używa certyfikatu z własnym podpisem.

Scenariusz B: Proxy HTTPS ruchu za pomocą MITM Proxy like Burp Suite, Fiddler, OWASP ZAP, etc. Proxy zwrócą certyfikat podpisany przez samo-podpisanego CA, aby proxy był w stanie przechwycić HTTPS ruchu.

Hosty produkcyjne nigdy nie powinny używać zaufanych certyfikatów dla oczywiste powody.

Jeśli symulator iOS musi zaakceptować niezaufany certyfikat do celów testowych, zaleca się, aby nie zmieniać logiki aplikacji w celu wyłączenia wbudowanej walidacji certyfikatu dostarczanej przez interfejsy API NSURLConnection. Jeśli aplikacja zostanie udostępniona publicznie bez usuwania tej logiki, będzie podatna na ataki typu man-in-the-middle.

Zalecanym sposobem przyjmowania zaufanych certyfikatów do celów testowych jest aby zaimportować certyfikat urzędu certyfikacji (CA), który podpisał certyfikat na symulator systemu iOS lub urządzenie z systemem iOS. Napisałem szybki post na blogu, który pokazuje, jak to zrobić, co symulator iOS:

Akceptowanie niezaufanych certyfikatów za pomocą symulatora ios

NSURLRequest posiada prywatną metodę o nazwie setAllowsAnyHTTPSCertificate:forHost:, która zrobi dokładnie to, co chcesz. Możesz zdefiniować metodę allowsAnyHTTPSCertificateForHost: na NSURLRequest za pomocą kategorii i ustawić ją na return YES dla hosta, który chcesz nadpisać.

Aby uzupełnić zaakceptowaną odpowiedź, dla znacznie lepszego bezpieczeństwa, możesz dodać swój certyfikat serwera lub własny certyfikat root CA do keychain ( https://stackoverflow.com/a/9941559/1432048 ), jednak samo zrobienie tego nie spowoduje, że NSURLConnection automatycznie uwierzytelni Twój serwer z podpisem własnym. Nadal musisz dodać poniższy kod do delegata NSURLConnection, jest on skopiowany z przykładowego kodu Apple AdvancedURLConnections i musisz dodać dwa pliki(poświadczenia.h, Poświadczenia.m) od przykładowego kodu apple do Twoich projektów.

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace {
return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust];
}

- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
//        if ([trustedHosts containsObject:challenge.protectionSpace.host])

    OSStatus                err;
    NSURLProtectionSpace *  protectionSpace;
    SecTrustRef             trust;
    SecTrustResultType      trustResult;
    BOOL                    trusted;

    protectionSpace = [challenge protectionSpace];
    assert(protectionSpace != nil);

    trust = [protectionSpace serverTrust];
    assert(trust != NULL);
    err = SecTrustEvaluate(trust, &trustResult);
    trusted = (err == noErr) && ((trustResult == kSecTrustResultProceed) || (trustResult == kSecTrustResultUnspecified));

    // If that fails, apply our certificates as anchors and see if that helps.
    //
    // It's perfectly acceptable to apply all of our certificates to the SecTrust
    // object, and let the SecTrust object sort out the mess.  Of course, this assumes
    // that the user trusts all certificates equally in all situations, which is implicit
    // in our user interface; you could provide a more sophisticated user interface
    // to allow the user to trust certain certificates for certain sites and so on).

    if ( ! trusted ) {
        err = SecTrustSetAnchorCertificates(trust, (CFArrayRef) [Credentials sharedCredentials].certificates);
        if (err == noErr) {
            err = SecTrustEvaluate(trust, &trustResult);
        }
        trusted = (err == noErr) && ((trustResult == kSecTrustResultProceed) || (trustResult == kSecTrustResultUnspecified));
    }
    if(trusted)
        [challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge];
}

[challenge.sender continueWithoutCredentialForAuthenticationChallenge:challenge];
}

Nie mogę brać za to żadnych zasług, ale ten, który znalazłem, bardzo dobrze odpowiadał moim potrzebom. shouldAllowSelfSignedCert jest moją BOOL zmienną. Po prostu dodaj do swojego NSURLConnection delegata i powinieneś być rockin dla szybkiego obejścia na zasadzie jednego połączenia.

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)space {
     if([[space authenticationMethod] isEqualToString:NSURLAuthenticationMethodServerTrust]) {
          if(shouldAllowSelfSignedCert) {
               return YES; // Self-signed cert will be accepted
          } else {
               return NO;  // Self-signed cert will be rejected
          }
          // Note: it doesn't seem to matter what you return for a proper SSL cert
          //       only self-signed certs
     }
     // If no other authentication is required, return NO for everything else
     // Otherwise maybe YES for NSURLAuthenticationMethodDefault and etc.
     return NO;
}

W systemie iOS 9 połączenia SSL nie powiodą się dla wszystkich nieprawidłowych lub podpisanych samodzielnie certyfikatów. Jest to domyślne zachowanie nowej funkcji App Transport Security w systemie iOS 9.0 lub nowszym oraz w systemie OS X 10.11 i nowszym.

Możesz nadpisać to zachowanie w Info.plist, ustawiając NSAllowsArbitraryLoads na YES w słowniku NSAppTransportSecurity. zalecam jednak zastąpienie tego ustawienia wyłącznie w celach testowych.

Informacje można znaleźć w aplikacji Transport Technote tutaj .

Obejście kategorii opublikowane przez Nathana de Vries przejdzie testy prywatnego API AppStore i jest przydatne w przypadkach, gdy nie masz kontroli nad obiektem NSUrlConnection. Jednym z przykładów jest NSXMLParser, który otworzy podany adres URL, ale nie ujawnia NSURLRequest ani NSURLConnection.

W iOS 4 obejście nadal wydaje się działać, ale tylko na urządzeniu symulator nie wywołuje już metody allowsAnyHTTPSCertificateForHost:.

Musisz użyć NSURLConnectionDelegate, Aby zezwolić na połączenia HTTPS i pojawiają się nowe wywołania zwrotne z iOS8.

Deprecated:

connection:canAuthenticateAgainstProtectionSpace:
connection:didCancelAuthenticationChallenge:
connection:didReceiveAuthenticationChallenge:

Zamiast tych, musisz zadeklarować:

connectionShouldUseCredentialStorage: - wysłane w celu ustalenia, czy ładowarka adresów URL powinna używać magazynu poświadczeń do uwierzytelniania połączenia.

connection:willSendRequestForAuthenticationChallenge: - informuje delegata, że połączenie wyśle prośbę o wyzwanie uwierzytelnienia.

Z willSendRequestForAuthenticationChallenge możesz użyć challenge tak jak z przestarzałymi metodami, na przykład:

// Trusting and not trusting connection to host: Self-signed certificate
[challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge];
[challenge.sender continueWithoutCredentialForAuthenticationChallenge:challenge];

Zamieściłem jakiś kod gist (oparty na cudzej pracy, którą odnotowałem), który pozwala poprawnie uwierzytelnić się przed wygenerowanym przez siebie certyfikatem (i jak uzyskać bezpłatny certyfikat - patrz komentarze na dole Cocoanetics)

Mój kod jest tutaj github

Jeśli chcesz nadal używać sendSynchronousRequest pracuję w tym rozwiązaniu:

FailCertificateDelegate *fcd=[[FailCertificateDelegate alloc] init];

NSURLConnection *c=[[NSURLConnection alloc] initWithRequest:request delegate:fcd startImmediately:NO];
[c setDelegateQueue:[[NSOperationQueue alloc] init]];
[c start];    
NSData *d=[fcd getData];

Możesz go zobaczyć tutaj: Objective - C SSL Synchronous Connection

Z AFNetworking z powodzeniem wykorzystałem https webservice z poniższym kodem,

NSString *aStrServerUrl = WS_URL;

// Initialize AFHTTPRequestOperationManager...
AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
manager.requestSerializer = [AFJSONRequestSerializer serializer];
manager.responseSerializer = [AFJSONResponseSerializer serializer];

[manager.requestSerializer setValue:@"application/json" forHTTPHeaderField:@"Content-Type"];
manager.securityPolicy.allowInvalidCertificates = YES; 
[manager POST:aStrServerUrl parameters:parameters success:^(AFHTTPRequestOperation *operation, id responseObject)
{
    successBlock(operation, responseObject);

} failure:^(AFHTTPRequestOperation *operation, NSError *error)
{
    errorBlock(operation, error);
}];

Możesz użyć tego kodu

-(void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
     if ([[challenge protectionSpace] authenticationMethod] == NSURLAuthenticationMethodServerTrust)
     {
         [[challenge sender] useCredential:[NSURLCredential credentialForTrust:[[challenge protectionSpace] serverTrust]] forAuthenticationChallenge:challenge];
     }
}

Użyj -connection:willSendRequestForAuthenticationChallenge: zamiast tych przestarzałych metod

Deprecated:

-(BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace  
-(void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge 
-(void)connection:(NSURLConnection *)connection didCancelAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge