Email:Service@dogssl.com
CNY
苹果ATS安全规范:SSL证书申请与服务器配置指南
更新时间:2025-02-28 作者:Dogssl证书指南

Apple 在 iOS 9 中引入了 App Transport Security (ATS) 功能,旨在强制提升网络通信的安全性。本文将详细解析 ATS 的要求,并提供 HTTPS 配置的完整指南,帮助开发者轻松满足 Apple 的安全标准。



一、ATS 背景与重要性

Apple 为了提高网络通信的安全性,在 iOS 9 和 OS X 10.11 中默认禁止非 HTTPS 的网络访问。虽然在 2017 年 1 月 1 日之前,开发者可以通过在  Info.plist 中添加  NSAppTransportSecurity 字典并将 NSAllowsArbitraryLoads 设置为 YES 来绕过 ATS,但此后这一方法已失效。所有新提交的 App 必须使用 HTTPS 加密通信,否则可能会在审核时遇到问题。

ATS 的引入标志着 Apple 对应用安全的高度重视,开发者必须确保其应用满足 ATS 的所有技术要求。



二、证书选择

在满足 Apple ATS 要求的众多证书中,从部署成本角度考量,DV 型证书是理想之选。其申请流程简便,性价比颇高。在 APP 应用场景下,用户通常无法直接查看证书详细信息,因此,相较于 OV 和 EV 证书,DV 证书在 ATS 环境中并无明显劣势。若需获取 DV 型证书列表,可访问:https://www.dogssl.com/ssl?validationtype=dv 。



三、ATS 的网络连接要求

要全面启用 ATS 功能,您的 App 必须满足以下 HTTPS 连接要求:

1. 可信的 SSL 证书

  • SSL 证书必须由可信的证书颁发机构(CA)签发,且根证书必须在 iOS 的可信根证书列表中。
  • 推荐证书类型:DV(域名验证)型证书,性价比高且申请简单。OV(组织验证)EV(扩展验证)证书在 ATS 场景中并无明显优势。
  • 推荐证书品牌:Symantec、GeoTrust、RapidSSL、Comodo、DigiCert 等(均在 iOS 可信根证书列表中)。

2. 证书技术要求

  • SSL 证书必须使用 RSA 2048 位或更高的密钥长度,并采用 SHA-256 签名算法。
  • 所有环度网信经销的 SSL 证书产品均满足此要求。

3. TLS 协议要求

  • 必须使用 TLS 1.2 或更高版本进行通信。

4. 加密算法要求

  • 必须支持 AES-128 和 AES-256 对称加密算法。
  • 必须支持 ECDHE(椭圆曲线迪菲-赫尔曼临时密钥交换)算法以实现 PFS(完美前向保密)特性。
  • 支持的加密套件:
     TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
     TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
     TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
     TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA



四、Web 服务器配置要求

不同 Web 服务器需要满足以下配置要求以支持 ATS:

1. Apache / Nginx

  • 需要使用 OpenSSL 1.0 或更高版本来支持 TLS 1.2。

2. Tomcat

  • 需要 JDK 7.0 或更高版本来支持 TLS 1.2。

3. IIS

  • IIS 7.5 默认不开启 TLS 1.2,需修改注册表以启用。
  • 下载并导入 ats.reg 注册表脚本后,重启服务器即可生效。

4. IBM Domino Server

  • 9.0.1 FP3 版本支持 TLS 1.2,建议使用 9.0.1 FP5 或更高版本。

5. IBM HTTP Server

  • 8.0 或更高版本支持 TLS 1.2,建议使用 8.5 或更高版本。

6. Weblogic

  • 10.3.6 或更高版本需要 Java 7 或更高版本来支持 TLS 1.2。
  • 注意:Weblogic 10.3.6 存在多个 SHA-256 兼容问题,建议使用 Weblogic 12 或更高版本,或配置前端 Apache/Nginx 作为 HTTPS 代理。

7. Websphere

  • V7.0.0.23、V8.0.0.3 或 V8.5.0.0 及以上版本支持 TLS 1.2。



五、ATS 检测工具

Apple 提供了内置工具来检测您的服务器配置是否满足 ATS 要求。在 macOS 中,可以使用以下命令进行检测:

nscurl --ats-diagnostics --verbose 网址

该工具会详细测试服务器的 TLS 配置,并生成报告,帮助您快速定位问题。



ATS 的引入是 Apple 提升应用安全的重要举措,开发者必须确保其应用满足 HTTPS 和 TLS 的严格要求。通过选择合适的 SSL 证书(如 DV 型证书)并正确配置 Web 服务器,您可以轻松满足 ATS 标准,确保应用顺利通过审核并保护用户数据安全。


Dogssl.com拥有20年网络安全服务经验,提供构涵盖国际CA机构SectigoDigicertGeoTrustGlobalSign,以及国内CA机构CFCA沃通vTrus上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务,如您有SSL证书需求,欢迎联系!
相关文档
立即加入,让您的品牌更加安全可靠!
申请SSL证书
0.227870s