Загрузка приложения iOS 9 с Amazon S3 Ошибка SSL: поддержка TLS 1.2

Изменить 2016-01-03: обновленный сертификат для s3.amazonaws.com использует алгоритм SHA256 и соответствует требованиям ATS.

Исходный ответ: s3.amazonaws.com использует сертификат SHA1, который не соответствует требованиям ATS, что приводит к серьезному сбою. В соответствии с Техникой безопасности транспорта приложений, ATS в iOS9 имеет следующие требования:

1. Сервер должен поддерживать протокол TLS версии не ниже 1.2.

2. # P4 #

   # P5 #

3. Сертификаты должны быть подписаны с использованием алгоритма хеширования подписи SHA256 или более высокого уровня, с ключом RSA длиной 2048 бит или больше, либо ключом эллиптической кривой (ECC) длиной 256 бит или больше.

Недействительные сертификаты приводят к серьезному сбою и отсутствию соединения.

Тест SSL-сервера SSL Labs (https://www.ssllabs.com/ssltest/analyze.html?d=s3.amazonaws.com) включает моделирование рукопожатия для ATS в iOS 9, которое указывает на сбой для s3.amazonaws.com.

Вам нужны две вещи, чтобы приложение iOS 9 успешно достигло конечной точки SSL (S3 - это только пример):

• На сервере включена прямая секретность (https://www.wikiwand.com/en/Forward_secrecy) .

  В настоящее время эта функция не поддерживается AWS S3. Чтобы решить эту проблему, вы можете настроить сервис AWS CloudFront (который поддерживает FS) перед своей корзиной S3. Настроить довольно просто. Если вы используете CORS, имейте в виду, что правильные заголовки необходимо передавать через прокси CloudFront.

• SSL-сертификат, защищенный SHA-256 на сервере.

  Как только ваши файлы станут доступны через Cloudfront, при нажатии URL (https://somethinghashed1234wasdfawer421.cloudfront.net) вы заметите, что там SSL-сертификат использует SHA-1. Как плохо ... Решение для этого - защитить это с помощью вашего частного SSL-сертификата SHA-256. Для этого вам необходимо указать CNAME для конечной точки Cloudfront в вашем домене. Это позволит вам защитить корзину с помощью собственного SSL-сертификата. Просто настройте свой DNS так, чтобы запись указывала cloudfront-bucket.mydomain.com на это уродливое somethinghashed1234wasdfawer421.cloudfront.net. Загрузите сертификат SSL на Amazon и установите защиту SSL в настройках распространения Cloudfront. Вуаля!

Все упомянутые элементы легко доступны в консоли AWS (кроме загрузки сертификата SSL, которая должна выполняться через интерфейс командной строки AWS).

Поскольку S3 в настоящее время не полностью соответствует требованиям, согласно в этом сообщении в блоге AWS их официальная рекомендация - исключить S3 из App Transport Security, добавив этот набор ключей в ваш Info.plist:

<key>NSAppTransportSecurity</key>
<dict>
      <key>NSExceptionDomains</key>
      <dict>
            <key>amazonaws.com</key>
            <dict>
                  <key>NSThirdPartyExceptionMinimumTLSVersion</key>
                  <string>TLSv1.0</string>
                  <key>NSThirdPartyExceptionRequiresForwardSecrecy</key>
                  <false/>
                  <key>NSIncludesSubdomains</key>
                  <true/>
            </dict>
            <key>amazonaws.com.cn</key>
            <dict>
                  <key>NSThirdPartyExceptionMinimumTLSVersion</key>
                  <string>TLSv1.0</string>
                  <key>NSThirdPartyExceptionRequiresForwardSecrecy</key>
                  <false/>
                  <key>NSIncludesSubdomains</key>
                  <true/>
            </dict>
      </dict>
</dict>

ОБНОВЛЕНИЕ 27.10.15: как Пол указывает в комментариях, хотя это официальный ответ AWS, инженера Apple в форумы поддержки говорят, что это действительно ошибка:

Оказалось, что тот факт, что NSExceptionRequiresForwardSecrecy ослабляет требование SHA-2/256, является ошибкой; предполагаемое поведение NSExceptionRequiresForwardSecrecy - это поведение, задокументированное в Техническом примечании по безопасности транспорта приложений, а именно, что он должен просто включать определенные наборы шифрования.

Мы планируем исправить эту ошибку в будущем. Мы планируем исправить это каким-либо совместимым образом, чтобы люди, которые по ошибке использовали NSExceptionRequiresForwardSecrecy для отключения требования SHA-2/256, не сломались. Однако предсказать будущее всегда сложно. Это подводит нас к тому, что вам следует делать прямо сейчас. [Предыдущая версия этого поста давала менее конкретные советы. Следующее - обновление, которое ужесточает ситуацию.] После обсуждения этого с ATS Engineering наши рекомендации:

Если вы используете конкретную службу хостинга, вам следует проконсультироваться со своей службой хостинга, чтобы получить последние рекомендации.

В подобных ситуациях, когда сервер полностью совместим с ATS, за исключением требования подписи сертификата SHA-2/256, мы рекомендуем вам точно задокументировать это состояние с помощью NSExceptionAllowsInsecureHTTPLoads.

Вам следует как можно скорее попытаться сделать ваш сервер полностью совместимым с ATS.

Когда это произойдет, вам следует обновить свое приложение, установив более безопасные настройки ATS.

Я должен подчеркнуть, что NSExceptionAllowsInsecureHTTPLoads на самом деле небезопасен. Это так же безопасно, как и ваше приложение в настоящее время, когда оно работает на iOS 8. Скорее, это означает, что ваше приложение не получает преимуществ от дополнительной безопасности, предоставляемой ATS. Делитесь и наслаждайтесь

Акцент мой. Обратите внимание, что текущий план состоит в том, чтобы исправить ошибку таким образом, чтобы не нарушить поведение людей, которые использовали NSExceptionRequiresForwardSecrecy для решения этой проблемы, поэтому приведенный выше ответ по-прежнему является жизнеспособным.

Просто укажите, что проблема с сертификатами Amazon заключается в том, что они используют SHA-1, а для безопасности транспорта приложения требуется SHA-2/256.

Тот факт, что NSExceptionRequiresForwardSecrecy работает, является ошибкой, описанной здесь, на форумах разработчиков Apple. Согласно документации и инженеру Apple в связанном потоке, «лучшим» решением было бы

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>s3.amazonaws.com</key>
        <dict>
            <key>NSIncludesSubdomains</key>
            <true/>
            <key>NSExceptionAllowsInsecureHTTPLoads</key>
            <true/>
        </dict> 
    </dict> 
</dict>

Я использую термин «лучше» очень вольно и имею в виду только решение, не содержащее ошибки, которую Apple со временем исправит. Теперь это исправление только проблемы с сертификатом :)

Пока Amazon не избавится от своих * ss по этому поводу, поскольку @Zsolt предложил вставить следующие ключи и значения в ваш файл plist.

НО не забудьте установить для NSExceptionDomain значение amazonaws.com вместо s3.amazonaws.com, в зависимости от того, как обслуживаются ваши активы и из какого региона Amazon может их обслуживать, например этот s3-us-west-1.amazonaws.com, поэтому не устанавливайте явно субдомен позволит правильно обслуживать ресурсы с любого идентификатора региона AWS.

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSExceptionDomains</key>
    <dict>
        <key>amazonaws.com</key>
        <dict>
            <key>NSExceptionRequiresForwardSecrecy</key>
            <false/>
            <key>NSIncludesSubdomains</key>
            <true/>
        </dict>
    </dict>
</dict>