本帖最后由 14911602-123 于 2017-6-22 13:40 编辑
苹果提出的ATS有哪些强制标准呢:
1、强制使用https
2、证书域名和链接地址域名匹配
3、根证书受苹果信任
4、证书在有效期内
5、必须支持TLS1.2
6、至少RSA 2048位或者是ECC 256位密钥加密
7、SHA256算法证书
8、加密套件要求,必须使用AES-128或者AES-256支持,并且支持完美前向加密:
RSA算法要求使用以下加密套件:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
DSA算法要求使用以下加密套件:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
苹果官网对于ATS标准说明:https://developer.apple.com/libr ... uid/TP40009251-SW57
如何支持ATS标准:
1、购买苹果信任CA所颁发的证书;
2、部署https网站的web服务器也有一定要求,如下:
Apache2.4,Nginx要求关联的openssl版本在1.0.0+,这样网站才支持TLS1.2,同时您需要对证书相关参数做一定调整:
Apache:- SSLProtocol all -SSLv2 -SSLv3
- SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!ADH:!MD5:!aNULL:!MD5
- SSLHonorCipherOrder on
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
- ssl_prefer_server_ciphers on;
- <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
- maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
- keystoreFile="keystore/domain.jks" keystorePass="证书密码"
- clientAuth="false" sslProtocol="TLS"
- ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
- TLS_RSA_WITH_AES_128_CBC_SHA,
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
- TLS_RSA_WITH_AES_128_CBC_SHA256,
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
- SSL_RSA_WITH_3DES_EDE_CBC_SHA,
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
下载调整加密套件的工具,下载地址:https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe
下载完成后,运行程序,点击Best Practice按钮,然后点击Apply按钮,这时系统提醒您重启,点击重启,配置才能生效。
| 
共 0 个关于如何支持Apple提出的ATS标准的回复 最后回复于 2016-10-21 16:20