Apple 在 iOS 9 中引入了 App Transport Security (ATS) 功能，旨在强制提升网络通信的安全性。本文将详细解析 ATS 的要求，并提供 HTTPS 配置的完整指南，帮助开发者轻松满足 Apple 的安全标准。

一、ATS 背景与重要性

Apple 为了提高网络通信的安全性，在 iOS 9 和 OS X 10.11 中默认禁止非 HTTPS 的网络访问。虽然在 2017 年 1 月 1 日之前，开发者可以通过在  Info.plist 中添加  NSAppTransportSecurity 字典并将 NSAllowsArbitraryLoads 设置为 YES 来绕过 ATS，但此后这一方法已失效。所有新提交的 App 必须使用 HTTPS 加密通信，否则可能会在审核时遇到问题。

ATS 的引入标志着 Apple 对应用安全的高度重视，开发者必须确保其应用满足 ATS 的所有技术要求。

二、证书选择

在满足 Apple ATS 要求的众多证书中，从部署成本角度考量，DV 型证书是理想之选。其申请流程简便，性价比颇高。在 APP 应用场景下，用户通常无法直接查看证书详细信息，因此，相较于 OV 和 EV 证书，DV 证书在 ATS 环境中并无明显劣势。若需获取 DV 型证书列表，可访问：https://www.dogssl.com/ssl?validationtype=dv 。

三、ATS 的网络连接要求

要全面启用 ATS 功能，您的 App 必须满足以下 HTTPS 连接要求：

1. 可信的 SSL 证书

• SSL 证书必须由可信的证书颁发机构（CA）签发，且根证书必须在 iOS 的可信根证书列表中。
• 推荐证书类型：DV（域名验证）型证书，性价比高且申请简单。OV（组织验证）和 EV（扩展验证）证书在 ATS 场景中并无明显优势。
• 推荐证书品牌：Symantec、GeoTrust、RapidSSL、Comodo、DigiCert 等（均在 iOS 可信根证书列表中）。

2. 证书技术要求

• SSL 证书必须使用 RSA 2048 位或更高的密钥长度，并采用 SHA-256 签名算法。
• 所有环度网信经销的 SSL 证书产品均满足此要求。

3. TLS 协议要求

• 必须使用 TLS 1.2 或更高版本进行通信。

4. 加密算法要求

• 必须支持 AES-128 和 AES-256 对称加密算法。
• 必须支持 ECDHE（椭圆曲线迪菲-赫尔曼临时密钥交换）算法以实现 PFS（完美前向保密）特性。
• 支持的加密套件：

     TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
     TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
     TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
     TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

四、Web 服务器配置要求

不同 Web 服务器需要满足以下配置要求以支持 ATS：

1. Apache / Nginx

• 需要使用 OpenSSL 1.0 或更高版本来支持 TLS 1.2。

2. Tomcat

• 需要 JDK 7.0 或更高版本来支持 TLS 1.2。

3. IIS

• IIS 7.5 默认不开启 TLS 1.2，需修改注册表以启用。
• 下载并导入 ats.reg 注册表脚本后，重启服务器即可生效。

4. IBM Domino Server

• 9.0.1 FP3 版本支持 TLS 1.2，建议使用 9.0.1 FP5 或更高版本。

5. IBM HTTP Server

• 8.0 或更高版本支持 TLS 1.2，建议使用 8.5 或更高版本。

6. Weblogic

• 10.3.6 或更高版本需要 Java 7 或更高版本来支持 TLS 1.2。
• 注意：Weblogic 10.3.6 存在多个 SHA-256 兼容问题，建议使用 Weblogic 12 或更高版本，或配置前端 Apache/Nginx 作为 HTTPS 代理。

7. Websphere

• V7.0.0.23、V8.0.0.3 或 V8.5.0.0 及以上版本支持 TLS 1.2。

五、ATS 检测工具

Apple 提供了内置工具来检测您的服务器配置是否满足 ATS 要求。在 macOS 中，可以使用以下命令进行检测：

nscurl --ats-diagnostics --verbose 网址

该工具会详细测试服务器的 TLS 配置，并生成报告，帮助您快速定位问题。

ATS 的引入是 Apple 提升应用安全的重要举措，开发者必须确保其应用满足 HTTPS 和 TLS 的严格要求。通过选择合适的 SSL 证书（如 DV 型证书）并正确配置 Web 服务器，您可以轻松满足 ATS 标准，确保应用顺利通过审核并保护用户数据安全。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!