嵌入的几种方式
使用公有协议https进行网络传输,为了避免数据被抓包,需要实现客户端的证书校验功能。而证书校验可能存在几种实现的方式。分别如下:
A. 直接把客户端证书cer,嵌入到bundle中。
B. 提取客户端证书的公钥,生成pem格式文件,嵌入到bundle中。
C. 把cer证书pem格式的文本硬编码到代码中。
D. 把pem格式公钥硬编码到代码中。
差别分析
实际上,以上的实现方式都能实现证书校验的功能,只是对应的证书数据解析哪一步的代码处理有点差异。让我感到疑惑的是,为什么会存在这几种方式,特别是A和B。
使用B而不使用A的原因猜测:
- 开发团队可能不愿意泄漏过多的证书信息,只是为了实现功能必要的嵌入公钥信息。
- 证书信息不常驻内存,存在频繁读取的场景,此时考虑效率,只使用必要的公钥信息。
而C,D与A,B没有多大区别,主要是转成了base64硬编码到代码中。从安全性的角度来说,可能比直接把文件嵌入安全一点。文件直接砸壳就能拿到,很直接。而硬编码需要分析二进制,并且还要在一堆字符串查找,不那么直接。
公钥证书pem的读取
// 从公钥证书文件中获取到公钥的SecKeyRef指针。 Base64String->NSData
+ (id)publicSecKeyFromKeyBits:(NSData *)givenData {
NSMutableDictionary *options = [NSMutableDictionary dictionary];
options[(__bridge id)kSecAttrKeyType] = (__bridge id) kSecAttrKeyTypeRSA;
options[(__bridge id)kSecAttrKeyClass] = (__bridge id) kSecAttrKeyClassPublic;
NSError *error = nil;
CFErrorRef ee = (__bridge CFErrorRef)error;
///但这个方法在iOS10才支持。
id ret = (__bridge_transfer id)SecKeyCreateWithData((__bridge CFDataRef)givenData, (__bridge CFDictionaryRef)options, &ee);
if (error) {
return nil;
}
return ret;
}
此方法存在一个比较明显的缺点,只支持iOS10及其以上。我看到一些嵌入pem格式的公钥证书的app是支持到8.0的,但没能找到能支持低版本的生成SecKeyRef的方法,也许其作用并不是用来做证书校验的。
小技巧
在后台不能提供客户端证书的情况下,可以在浏览器使用对应的域名下得网址进行请求,把证书拿到。macOS可以这么操作:1.请求相应的地址,2点击地址栏左边的小锁头,3点击证书,4出现证书详情的时候,点击拖动证书图标保存到本地。
