首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  iOS

Apple 的 ATS 政策能迫使 12306 不再使用自签名证书吗?

  •  
  •   honeycomb · 2016-12-13 18:00:37 +08:00 · 5540 次点击
    这是一个创建于 1040 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ATS 政策要求必须使用 iOS 内置 CA 颁发的证书,而 12306 的 app 显然没有合理的理由使用明文连接,也不可能使用自签名证书( ATS 政策不允许)。

    如此接下来会发生什么?
    65 回复  |  直到 2016-12-16 10:28:26 +08:00
        1
    Vernsu   2016-12-13 18:06:50 +08:00
    接下来 APP 不更新了- -
        2
    hjc4869   2016-12-13 18:10:39 +08:00
    自带 http 库绕过 ATS (
        3
    wohenyingyu02   2016-12-13 18:12:01 +08:00
    @Vernsu 然后呼吁大家不要升级 iOS ,全部停留在 10 么……

    不过话说买个证书很难么,会浪费国家吃喝经费?
        4
    CloudnuY   2016-12-13 18:13:39 +08:00
    @wohenyingyu02 想用自己的根证书
        5
    stneng   2016-12-13 18:15:05 +08:00
    @wohenyingyu02 12306 是买了证书的好嘛? https://epay.12306.cn
        6
    SourceMan   2016-12-13 18:15:59 +08:00
    我一直都好想说人家是别有目的的
        7
    honeycomb   2016-12-13 18:46:19 +08:00 via Android
    @stneng
    那就是说还是有证书的,但不愿意用。

    那它为什么不在买票的主要域名用?不过这是另一件事情了。
        8
    wevsty   2016-12-13 18:49:50 +08:00
    12306 可以选择不兼容 apple 系的产品
        9
    ZRS   2016-12-13 19:15:20 +08:00
    我觉得能让天朝区苹果设备多加个根证书
        10
    hanbing135   2016-12-13 19:16:38 +08:00 via Android
    12306 这么强悍的影响力 苹果会为它做调整的吧
        11
    Cavolo   2016-12-13 19:32:43 +08:00 via iPhone
    12306 自签证书会进入 iOS 预置证书列表
        12
    greyby   2016-12-13 19:35:25 +08:00
    @stneng 买的不是泛域的,限定在 epay 这个二级域名了
        13
    ghui   2016-12-13 19:39:56 +08:00
    @Cavolo lol
        14
    micyng   2016-12-13 19:41:17 +08:00
    如果自签 CA 能随便进入系统预置列表,那就真的呵呵了
        15
    renyijiu   2016-12-13 19:44:01 +08:00
    12306 完全不虚苹果,所以只能看 12306 是否愿意了,并不能迫使
        16
    9hills   2016-12-13 19:44:23 +08:00
    12306 宣布不支持 IOS ,你们难道就不买票了。还不是乖乖的换了平台买票,这种刚需根本就不怕什么。
        17
    honeycomb   2016-12-13 19:48:15 +08:00
    @wevsty
    @renyijiu
    @9hills

    不虚苹果的代价非常大
        18
    9hills   2016-12-13 19:50:44 +08:00
    @honeycomb 假如 12306 直接从 app store 下架,又能如何

    换个 APP 买火车票?所有的网购火车票的入口都是 12306 ,没有例外

    12306 的流量一点都不会少,你总不能说没有 12306 app 后,就不买火车票了吧。那只能说你厉害
        19
    warcraft1236   2016-12-13 19:55:53 +08:00
    @honeycomb 第一次听说苹果比 12306 还牛逼的。 12306 是刚需,苹果跟他比毛都不是
        20
    stneng   2016-12-13 20:00:01 +08:00
    @honeycomb 我想这还是可以理解为什么的吧。。。
    @greyby 无语,他就不能买别的吗?我只是表明他是买了 ssl 的,至于为什么不给购买页面用,自行理解。
        21
    2225377fjs   2016-12-13 20:07:49 +08:00
    12306 宣布不支持 IOS 系统
        22
    honeycomb   2016-12-13 20:12:36 +08:00
    @9hills
    @warcraft1236

    如果 12306 不改正,那么下架是一个很好的结果,这个意义上苹果比 12306 牛逼。
        23
    SourceMan   2016-12-13 20:13:47 +08:00 via iPhone
    虽然我吹嘘苹果,但是我只敢拿它跟安卓比
        24
    helloSwift   2016-12-13 20:21:42 +08:00
    表示从来都是在电脑上买的
        25
    warcraft1236   2016-12-13 20:22:08 +08:00
    @honeycomb 然后苹果用户要嘛拿安卓手机抢票,要不电脑上抢票?
        26
    honeycomb   2016-12-13 21:27:16 +08:00
    @warcraft1236

    说不定 12306 会退一步
    然后所有人都能享受到完整证书链建立的可靠的 HTTPS 页面
        27
    wwqgtxx   2016-12-13 21:30:05 +08:00 via iPhone
    他可以不用 https 自己去实现 tls 加密不就行了,还能骗一堆国家经费
        28
    wdlth   2016-12-13 21:43:25 +08:00
    然后我们会看到 CFCA 或者 StartCom 签发的 12306 证书……
        29
    billlee   2016-12-13 21:48:54 +08:00   ♥ 3
    @Cavolo 没经过 WebTrust 审计的 CA 是不可能内置的
        30
    hewigovens   2016-12-13 21:51:48 +08:00
    像我都用第三方 app, 12306 更新也没事
        31
    honeycomb   2016-12-13 21:55:18 +08:00
    @wdlth
    CFCA 不在 iOS 的 CA 列表中
    StartCom 刚刚被苹果拉黑, wosign 只能从别人那里搞了一个中级证书
        32
    lasse   2016-12-13 23:15:46 +08:00   ♥ 1
    @honeycomb 错了, CFCA 已经在 IOS 10.1 的根证书内了。。:)我单位考虑到照顾低版本系统用户,还是高价买国外证书,但是几年后可以改用 CFCA 了
        33
    lshero   2016-12-13 23:19:52 +08:00
    没准 api 用的标准证书
    web 站点继续用自签证书恶心人
        34
    zsj950618   2016-12-14 00:11:34 +08:00
    支付裱里的火车票是直接让你输 12306 账号密码的,所以确实可以不用装 12306 app (逃
        35
    yov123456   2016-12-14 00:26:24 +08:00 via iPhone
    …… ats 加个例外不就好了
        36
    qceytzn   2016-12-14 02:34:18 +08:00
    @stneng 打不开
    Error 404--Not Found
    From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
    10.4.5 404 Not Found

    The server has not found anything matching the Request-URI. No indication is given of whether the condition is temporary or permanent.

    If the server does not wish to make this information available to the client, the status code 403 (Forbidden) can be used instead. The 410 (Gone) status code SHOULD be used if the server knows, through some internally configurable mechanism, that an old resource is permanently unavailable and has no forwarding address.
        37
    nvidiaAMD980X   2016-12-14 04:19:18 +08:00 via Android   ♥ 1
    @honeycomb CFCA EV Root 已经在 iOS10 和 macOS 10.12 的 trusted CA zone 了………… macOS 10.12 可以一键移除 CFCA CA, 可是 iOS10 就不行了……………
    @lasse 很可惜,我是不会登入你公司的网站了…………已经拉黑 CFCA …………
        38
    nvidiaAMD980X   2016-12-14 04:24:02 +08:00 via Android
    @warcraft1236 刚需个鬼!我可以买飞机票,再不济,付钱让他人代买,如果 Apple 将 12306 的垃圾证书加入 trusted CA zone, Apple 真的药丸了
        39
    nvidiaAMD980X   2016-12-14 04:50:49 +08:00 via Android
    @honeycomb 对了, StartCom 的三个根证书仍然在 iOS10 和 macOS 10.12 的 trusted CA zone 中, Apple 拉黑的是 Wosign 签发的一个免费证书…………

    如果 Apple 允许用户可以自行拉黑 CA 证书就好了…………… Android7.0 就是一个很好的榜样。
        40
    BXIA   2016-12-14 05:28:58 +08:00 via iPhone
    @honeycomb
    @lasse 讲道理 CFCA 还是个正儿八经的 CA 的,比 12306 那玩意高到不知道哪里去了
        41
    starvedcat   2016-12-14 06:14:14 +08:00
    看楼上几位津津有味地鄙视苹果,不禁产生一种错位感——假使 12306 由于没有符合标准的证书而从 app store 下架,这件事中应受鄙视的难道不是 12306 吗?
        42
    starvedcat   2016-12-14 06:15:34 +08:00
    当然如果你是那种腥沉大海、“看到强国这么流氓我就放心了”,那的确也无可反驳。
        43
    tyfulcrum   2016-12-14 08:46:20 +08:00 via iPhone
    @starvedcat 讨论的重点不是鄙视不鄙视,是到底谁会让步。
        44
    ChopinWong   2016-12-14 09:00:51 +08:00
    @tyfulcrum 怎么讲。。。 google 在我国不就被玩惨了。。。
        45
    nvidiaAMD980X   2016-12-14 09:06:53 +08:00 via Android
    @BXIA 正儿八经的 CA ,呵呵………
        46
    pierrec   2016-12-14 10:05:22 +08:00
    参考 银行 IE
        47
    aliuwr   2016-12-14 10:19:28 +08:00
    不能,参考楼上给出的 12306 使用正常证书签名的域名。
    可能也就是 iOS 端使用正常证书的域名,其余照旧自签名。
        48
    warcraft1236   2016-12-14 10:26:27 +08:00
    @honeycomb 你太高看 12306 了
        49
    j8sec   2016-12-14 13:27:21 +08:00
    Apple iOS 10.3 Update:

    new features
    1. add 12306CA trust certificate chain.
    2. ....
        50
    est   2016-12-14 13:32:44 +08:00
    @honeycomb 有啥代价?

    当年封 gmail 你们不也说 tg 不敢封代价非常大么。

    代价就是个屁。
        51
    zeroten   2016-12-14 13:41:45 +08:00   ♥ 1
    搭车问,这个对提供网页服务的微信公众号有影响么?
        52
    Penton   2016-12-14 14:15:44 +08:00
    iOS 端用 CA 的不就完事了么
        53
    honeycomb   2016-12-14 14:28:06 +08:00 via Android
    @est 花了这么多年才封完,而且对国内造成了重大损害。也是国内 Android 生态环境一锅粥的原因。这个代价不大么?

    @zeroten 这个有意思。
        54
    est   2016-12-14 14:35:02 +08:00
    @honeycomb

    > 而且对国内造成了重大损害

    没啥伤害啊。对体制内的人有一毛线的影响么。

    > 国内 Android 生态环境一锅粥的原因。这个代价不大么?

    正是 tg 想要的啊。如果啥都被 google 控制了那还得了。
        55
    honeycomb   2016-12-14 14:38:06 +08:00 via Android
    @est
    这就是代价嘛
        56
    mrlawrence   2016-12-14 16:50:13 +08:00
    解决办法多的是,下架了就下架吧。
    我用的招行 APP ,只需要身份证手机号码直接就买了,什么 12306 帐号密码都不需要。
    理论上代理商可以直接出票,对于 12306 这个 APP ,我个人是觉得没什么用(刚需)。当然,退票改签在 APP 上还是蛮方便的。
        57
    lslqtz   2016-12-14 17:16:39 +08:00 via iPhone
    启动时要求信任数字证书
        58
    honeycomb   2016-12-14 17:57:59 +08:00 via Android
    @lslqtz
    做不到, iOS 没有这样的能力
    更重要的是这样的应用没法上架
        59
    goodbest   2016-12-14 18:02:50 +08:00
    @honeycomb
    @lslqtz

    谁说没有这个能力?用描述文件就能增加系统根证书。
    虽然这样的 app 可能无法上架,但也的确是一种解决办法。
        60
    7654   2016-12-14 18:08:05 +08:00
    12306 发布企业应用,苹果能拿他怎么样?
    呵呵,敢不给铁老大发企业证书?
        61
    honeycomb   2016-12-14 19:48:16 +08:00 via Android
    @goodbest 如果它用描述文件的做法,也能达到 appstore 下架的结果
        62
    lslqtz   2016-12-14 19:53:33 +08:00
    @honeycomb 企业证书直接浏览器下载也不错,铁老大不差钱。
    但是苹果要是敢这么搞的话...
        63
    goodbest   2016-12-14 19:59:02 +08:00
    @honeycomb 说实话, 12306 这个客户端又不是没被苹果下架过。(Xcode Ghost 事件)

    所以真的下架了也很正常吧。
        64
    mony   2016-12-16 09:48:01 +08:00
    我只想问一下楼猪,苹果在哪个文档里说了必须用 CA 证书
        65
    honeycomb   2016-12-16 10:28:26 +08:00 via Android
    @mony 搜一下关于 ATS 的信息就知道了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1283 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 28ms · UTC 17:40 · PVG 01:40 · LAX 10:40 · JFK 13:40
    ♥ Do have faith in what you're doing.