自签名的https证书是不安全的

1、项目内的需求

咱们作的app都是企业级的应用，而企业级的应用的下载须要遵循itms协议，itms协议下须要https连接，这就须要你的服务器支持https的协议，该协议须要申请SSL证书，咱们测试时用的是自签名的证书，而自签名的证书原本就就存在不安全行，自从ios10.3更新以来即便安装了自签名的证书也报错，说没法下载app,是由于苹果阻止了不受信任的证书

2、解决方案

一、自签名的证书，须要手动的为证书打开信任，通用->关于本机->证书信任设置->证书打开信任

二、申请可信任的证书像StartCom的证书，固然会很贵，关于ios中可用的受信任的根证书列表，能够参考苹果的官方的文档

https://support.apple.com/zh-cn/HT208125

3、自签名的证书为何是不安全的

一、自签证书最容易受到SSL中间人攻击

自签证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，须要人工确认是否信任此证书。全部使用自签证书的网站都明确地告诉用户出现这种状况，用户必须点信任并继续浏览！这就给中间人攻击形成了可之机。

二、自签证书支持不安全的SSL通讯从新协商机制

几乎全部使用自签SSL证书的服务器都存在不安全的SSL通讯从新协商安全漏洞，这是SSL协议的安全漏洞，因为自签证书系统并无跟踪最新的技术而没有及时补漏！此漏洞会被黑客利用而截获用户的加密信息，如银行帐户和密码等，很是危险，必定要及时修补。

三、自签证书使用不安全的1024位非对称密钥对

而目前几乎全部自签证书都是1024位，自签根证书也都是1024位，固然都是不安全的。仍是那句话：因为部署自签SSL证书而没法得到专业SSL证书提供商的专业指导，根本就不知道1024位已经不安全了

四、自签证书证书有效期太长

自签证书中还有一个广泛的问题是证书有效期太长，短则5年，长则20年、30年的都有，而且还都是使用不安全1024位加密算法。多是自签证书制做时反正又不要钱，就多发几年吧，而根本不知道PKI技术标准中为什么要限制证书有效期的基本原理是：有效期越长，就越有可能被黑客破解，由于他有足够长的时间(20年)来破解你的加密。