还有 13 天，苹果就要关上 HTTP 大门了

2017年1月1日之后，全部iOS须要访问网页的 App 都要面临一个问题：ATS(App Transport Security)。因为 ATS 要求 HTTPS 访问，换句话来讲，还有 13 天，苹果就要对 APP 开发者们关闭 HTTP 的大门了。

一、什么是 ATS？

ATS 全称 App Transport Security，是 iOS 9 引入的一套安全机制，默认行为会强制保证全部的网络请求都使用 HTTPS。

二、绕过 ATS？

因为这样的要求影响很是广，苹果也是考虑到开发者的过渡问题，预留了一些绕过 ATS 的方法。好比，能够经过在 Info.plist 中添加 NSAppTransportSecurity 字典而且将 NSAllowsArbitraryLoads 设置为 YES 来禁用 ATS。

可是到了 WWDC 16 后，苹果对 ATS 的推动力度加大，要求从 2017 年 1 月 1 日起，全部的新提交 app 默认是不容许使用 NSAllowsArbitraryLoads 来绕过 ATS 限制的。

虽然还有其余的一些方法，可是紧随苹果的脚步，采用 HTTPS 传输显然是更好、更安全的一个选择。绕过 ATS 协议并非一个好的方案，苹果强推 ATS 的目的，也是在于防止意外泄露我的信息，并为应用程序提供默认安全行为。

三、启用 HTTPS

在 APP 的服务器上启用 HTTPS 协议其实并无想象的那么复杂，只须要经过一些简单的步骤部署 SSL 证书便可完成。

HTTPS，是指超文本传输安全协议（Hypertext Transfer Protocol Secure），是一种在 HTTP 协议基础上进行传输加密的安全协议，可以有效保障数据传输安全。

证书方面，能够选择免费版的 Let's Encrypt，也能够购买权威机构颁发的 CA 证书。后者是一个更加可靠、安全的选择，许多云厂商也提供有相似的 SSL 证书服务，而且能够部署到 CDN 上。

因为笔者我的使用腾讯云的服务比较多，下面以腾讯云为例介绍如何申请、部署 SSL 证书。腾讯云的 SSL 证书是由 GeoTrust 颁发的，可无偿使用一年。若是你是阿里云或其余云厂商的用户，能够查看各自对应的证书产品。

3.一、申请证书

登陆腾讯云以后，前往 SSL 证书管理控制台，点击申请证书，会弹出证书选择框。目前只能选择 GeoTrust 颁布的证书，后续彷佛会开放更多证书厂商的产品。

接下来，须要填写一些申请信息，最重要的是绑定域名。假如你的域名的 abc.com，须要填写的必须是相似 a.abc.com 这样非顶级域名。

下一步，会要求手动进行 DNS 验证。具体的步骤可参考产品文档：域名验证指引。

通常配置正确的话，很快就能够拿到属于本身的免费证书了。据笔者我的的状况来看，大概一刷新就能够经过审核。

3.二、服务器安装证书

审核经过后，能够在SSL 证书管理控制台看到证书下载连接。先将证书下载到本地，并上传到 App的服务器，为服务器上安装证书作好准备。

这里，咱们以较为经常使用 Nginx 为例介绍具体安装过程。若是使用的是 Apache 或 IIS 等其余服务器，请参考官方文档。

3.2.1 获取证书

Nginx文件夹内得到SSL证书文件 1_www.domain.com_bundle.crt 和私钥文件 2_www.domain.com.key：

• 1_www.domain.com_bundle.crt 文件包括两段证书代码 “-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”

• 2_www.domain.com.key 文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。

3.2.2 证书安装

将域名 www.domain.com 的证书文件 1_www.domain.com_bundle.crt 、私钥文件 2_www.domain.com.key 保存到同一个目录，例如 /usr/local/nginx/conf 目录下。

更新Nginx根目录下 conf/nginx.conf 文件以下：

server {
        listen 443;
        server_name www.domain.com; #填写绑定证书的域名
        ssl on;
        ssl_certificate 1_www.domain.com_bundle.crt;
        ssl_certificate_key 2_www.domain.com.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
    }

配置完成后，先用 bin/nginx –t 来测试下配置是否有误。正确无误的话，重启 nginx，就可使 https://www.domain.com 来访问了。

4. CDN 上部署 HTTPS

不少网站都会使用 CDN 服务，由于云厂商通常有提供一些免费的 CDN 流量额度，好比腾讯云就有 60GB 的免费流量。

对于使用了 CDN 的 App 或网站，还能够将 HTTPS 部署在全网 CDN 节点，实现全网数据加密传输功能。

4.1 配置 HTTPS 的条件：

• 域名管理页面，域名的状态为 部署中 或 已启动。

• 域名不是由 COS 同步而来的 .file.myqcloud.com 后缀域名。

• 域名的接入方式为 自有源 或者 COS源、FTP源。

登陆CDN控制台，进入 【域名管理】 页面，点击域名右侧 管理 按钮，进入管理页面：

在 【高级配置】中找到 HTTPS 配置模块

4.2 证书类型

腾讯云 CDN 目前支持两种方式部署证书：

• 自有证书：将自有证书、私钥内容上传至 CDN 进行部署，全程加密传输，证书不落地，保障您的证书安全。

• 腾讯云托管证书：也就是上面我们已经申请成功的 SSL 证书。

4.3 证书配置

前往CDN高级工具-证书管理界面，

根据状况选择但愿配置证书的域名、证书类型和回源方式便可。这里须要知足前面提到的这个条件：域名的状态为 部署中 或 已启动。

勾选“腾讯托管证书”后，能够在证书列表下拉菜单中找到刚才申请到的证书。回源方式选择为 HTTPS，以后提交便可。

证书配置成功后，会出现 强制跳转 开关，开启后，即便用户发起 HTTP 请求，也会强制跳转为 HTTPS进行访问。

检测部署效果

完成上面一系列的操做以后，还须要最后确认部署的 SSL 证书是否符合 ATS 要求。不然，折腾了那么久，最终倒是作了无用功的话，那是很是痛苦的一件事。

对此，云厂商也是提供了较为方便的检测方式，只须要输入目标域名便可一键检测。

至此，就完成了 App 服务器的 SSL 证书部署，并知足了苹果 ATS 协议的严格要求。