V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
honeycomb
V2EX  ›  iOS

Apple 的 ATS 政策能迫使 12306 不再使用自签名证书吗?

  •  
  •   honeycomb · 2016-12-13 18:00:37 +08:00 · 7395 次点击
    这是一个创建于 2930 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ATS 政策要求必须使用 iOS 内置 CA 颁发的证书,而 12306 的 app 显然没有合理的理由使用明文连接,也不可能使用自签名证书( ATS 政策不允许)。

    如此接下来会发生什么?
    65 条回复    2016-12-16 10:28:26 +08:00
    Vernsu
        1
    Vernsu  
       2016-12-13 18:06:50 +08:00
    接下来 APP 不更新了- -
    hjc4869
        2
    hjc4869  
       2016-12-13 18:10:39 +08:00
    自带 http 库绕过 ATS (
    wohenyingyu02
        3
    wohenyingyu02  
       2016-12-13 18:12:01 +08:00
    @Vernsu 然后呼吁大家不要升级 iOS ,全部停留在 10 么……

    不过话说买个证书很难么,会浪费国家吃喝经费?
    CloudnuY
        4
    CloudnuY  
       2016-12-13 18:13:39 +08:00
    @wohenyingyu02 想用自己的根证书
    stneng
        5
    stneng  
       2016-12-13 18:15:05 +08:00
    @wohenyingyu02 12306 是买了证书的好嘛? https://epay.12306.cn
    SourceMan
        6
    SourceMan  
       2016-12-13 18:15:59 +08:00
    我一直都好想说人家是别有目的的
    honeycomb
        7
    honeycomb  
    OP
       2016-12-13 18:46:19 +08:00 via Android
    @stneng
    那就是说还是有证书的,但不愿意用。

    那它为什么不在买票的主要域名用?不过这是另一件事情了。
    wevsty
        8
    wevsty  
       2016-12-13 18:49:50 +08:00
    12306 可以选择不兼容 apple 系的产品
    ZRS
        9
    ZRS  
       2016-12-13 19:15:20 +08:00
    我觉得能让天朝区苹果设备多加个根证书
    hanbing135
        10
    hanbing135  
       2016-12-13 19:16:38 +08:00 via Android
    12306 这么强悍的影响力 苹果会为它做调整的吧
    Cavolo
        11
    Cavolo  
       2016-12-13 19:32:43 +08:00 via iPhone
    12306 自签证书会进入 iOS 预置证书列表
    greyby
        12
    greyby  
       2016-12-13 19:35:25 +08:00
    @stneng 买的不是泛域的,限定在 epay 这个二级域名了
    ghui
        13
    ghui  
       2016-12-13 19:39:56 +08:00
    @Cavolo lol
    micyng
        14
    micyng  
       2016-12-13 19:41:17 +08:00
    如果自签 CA 能随便进入系统预置列表,那就真的呵呵了
    renyijiu
        15
    renyijiu  
       2016-12-13 19:44:01 +08:00
    12306 完全不虚苹果,所以只能看 12306 是否愿意了,并不能迫使
    9hills
        16
    9hills  
       2016-12-13 19:44:23 +08:00
    12306 宣布不支持 IOS ,你们难道就不买票了。还不是乖乖的换了平台买票,这种刚需根本就不怕什么。
    honeycomb
        17
    honeycomb  
    OP
       2016-12-13 19:48:15 +08:00
    @wevsty
    @renyijiu
    @9hills

    不虚苹果的代价非常大
    9hills
        18
    9hills  
       2016-12-13 19:50:44 +08:00
    @honeycomb 假如 12306 直接从 app store 下架,又能如何

    换个 APP 买火车票?所有的网购火车票的入口都是 12306 ,没有例外

    12306 的流量一点都不会少,你总不能说没有 12306 app 后,就不买火车票了吧。那只能说你厉害
    warcraft1236
        19
    warcraft1236  
       2016-12-13 19:55:53 +08:00
    @honeycomb 第一次听说苹果比 12306 还牛逼的。 12306 是刚需,苹果跟他比毛都不是
    stneng
        20
    stneng  
       2016-12-13 20:00:01 +08:00
    @honeycomb 我想这还是可以理解为什么的吧。。。
    @greyby 无语,他就不能买别的吗?我只是表明他是买了 ssl 的,至于为什么不给购买页面用,自行理解。
    2225377fjs
        21
    2225377fjs  
       2016-12-13 20:07:49 +08:00
    12306 宣布不支持 IOS 系统
    honeycomb
        22
    honeycomb  
    OP
       2016-12-13 20:12:36 +08:00
    @9hills
    @warcraft1236

    如果 12306 不改正,那么下架是一个很好的结果,这个意义上苹果比 12306 牛逼。
    SourceMan
        23
    SourceMan  
       2016-12-13 20:13:47 +08:00 via iPhone
    虽然我吹嘘苹果,但是我只敢拿它跟安卓比
    helloSwift
        24
    helloSwift  
       2016-12-13 20:21:42 +08:00
    表示从来都是在电脑上买的
    warcraft1236
        25
    warcraft1236  
       2016-12-13 20:22:08 +08:00
    @honeycomb 然后苹果用户要嘛拿安卓手机抢票,要不电脑上抢票?
    honeycomb
        26
    honeycomb  
    OP
       2016-12-13 21:27:16 +08:00
    @warcraft1236

    说不定 12306 会退一步
    然后所有人都能享受到完整证书链建立的可靠的 HTTPS 页面
    wwqgtxx
        27
    wwqgtxx  
       2016-12-13 21:30:05 +08:00 via iPhone
    他可以不用 https 自己去实现 tls 加密不就行了,还能骗一堆国家经费
    wdlth
        28
    wdlth  
       2016-12-13 21:43:25 +08:00
    然后我们会看到 CFCA 或者 StartCom 签发的 12306 证书……
    billlee
        29
    billlee  
       2016-12-13 21:48:54 +08:00   ❤️ 3
    @Cavolo 没经过 WebTrust 审计的 CA 是不可能内置的
    hewigovens
        30
    hewigovens  
       2016-12-13 21:51:48 +08:00
    像我都用第三方 app, 12306 更新也没事
    honeycomb
        31
    honeycomb  
    OP
       2016-12-13 21:55:18 +08:00
    @wdlth
    CFCA 不在 iOS 的 CA 列表中
    StartCom 刚刚被苹果拉黑, wosign 只能从别人那里搞了一个中级证书
    lasse
        32
    lasse  
       2016-12-13 23:15:46 +08:00   ❤️ 1
    @honeycomb 错了, CFCA 已经在 IOS 10.1 的根证书内了。。:)我单位考虑到照顾低版本系统用户,还是高价买国外证书,但是几年后可以改用 CFCA 了
    lshero
        33
    lshero  
       2016-12-13 23:19:52 +08:00
    没准 api 用的标准证书
    web 站点继续用自签证书恶心人
    zsj950618
        34
    zsj950618  
       2016-12-14 00:11:34 +08:00
    支付裱里的火车票是直接让你输 12306 账号密码的,所以确实可以不用装 12306 app (逃
    yov123456
        35
    yov123456  
       2016-12-14 00:26:24 +08:00 via iPhone
    …… ats 加个例外不就好了
    qceytzn
        36
    qceytzn  
       2016-12-14 02:34:18 +08:00
    @stneng 打不开
    Error 404--Not Found
    From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
    10.4.5 404 Not Found

    The server has not found anything matching the Request-URI. No indication is given of whether the condition is temporary or permanent.

    If the server does not wish to make this information available to the client, the status code 403 (Forbidden) can be used instead. The 410 (Gone) status code SHOULD be used if the server knows, through some internally configurable mechanism, that an old resource is permanently unavailable and has no forwarding address.
    nvidiaAMD980X
        37
    nvidiaAMD980X  
       2016-12-14 04:19:18 +08:00 via Android   ❤️ 1
    @honeycomb CFCA EV Root 已经在 iOS10 和 macOS 10.12 的 trusted CA zone 了………… macOS 10.12 可以一键移除 CFCA CA, 可是 iOS10 就不行了……………
    @lasse 很可惜,我是不会登入你公司的网站了…………已经拉黑 CFCA …………
    nvidiaAMD980X
        38
    nvidiaAMD980X  
       2016-12-14 04:24:02 +08:00 via Android
    @warcraft1236 刚需个鬼!我可以买飞机票,再不济,付钱让他人代买,如果 Apple 将 12306 的垃圾证书加入 trusted CA zone, Apple 真的药丸了
    nvidiaAMD980X
        39
    nvidiaAMD980X  
       2016-12-14 04:50:49 +08:00 via Android
    @honeycomb 对了, StartCom 的三个根证书仍然在 iOS10 和 macOS 10.12 的 trusted CA zone 中, Apple 拉黑的是 Wosign 签发的一个免费证书…………

    如果 Apple 允许用户可以自行拉黑 CA 证书就好了…………… Android7.0 就是一个很好的榜样。
    RqPS6rhmP3Nyn3Tm
        40
    RqPS6rhmP3Nyn3Tm  
       2016-12-14 05:28:58 +08:00 via iPhone
    @honeycomb
    @lasse 讲道理 CFCA 还是个正儿八经的 CA 的,比 12306 那玩意高到不知道哪里去了
    starvedcat
        41
    starvedcat  
       2016-12-14 06:14:14 +08:00
    看楼上几位津津有味地鄙视苹果,不禁产生一种错位感——假使 12306 由于没有符合标准的证书而从 app store 下架,这件事中应受鄙视的难道不是 12306 吗?
    starvedcat
        42
    starvedcat  
       2016-12-14 06:15:34 +08:00
    当然如果你是那种腥沉大海、“看到强国这么流氓我就放心了”,那的确也无可反驳。
    tyfulcrum
        43
    tyfulcrum  
       2016-12-14 08:46:20 +08:00 via iPhone
    @starvedcat 讨论的重点不是鄙视不鄙视,是到底谁会让步。
    ChopinWong
        44
    ChopinWong  
       2016-12-14 09:00:51 +08:00
    @tyfulcrum 怎么讲。。。 google 在我国不就被玩惨了。。。
    nvidiaAMD980X
        45
    nvidiaAMD980X  
       2016-12-14 09:06:53 +08:00 via Android
    @BXIA 正儿八经的 CA ,呵呵………
    gqfBzoLVY3Wl4Tng
        46
    gqfBzoLVY3Wl4Tng  
       2016-12-14 10:05:22 +08:00
    参考 银行 IE
    aliuwr
        47
    aliuwr  
       2016-12-14 10:19:28 +08:00
    不能,参考楼上给出的 12306 使用正常证书签名的域名。
    可能也就是 iOS 端使用正常证书的域名,其余照旧自签名。
    warcraft1236
        48
    warcraft1236  
       2016-12-14 10:26:27 +08:00
    @honeycomb 你太高看 12306 了
    j8sec
        49
    j8sec  
       2016-12-14 13:27:21 +08:00
    Apple iOS 10.3 Update:

    new features
    1. add 12306CA trust certificate chain.
    2. ....
    est
        50
    est  
       2016-12-14 13:32:44 +08:00
    @honeycomb 有啥代价?

    当年封 gmail 你们不也说 tg 不敢封代价非常大么。

    代价就是个屁。
    zeroten
        51
    zeroten  
       2016-12-14 13:41:45 +08:00   ❤️ 1
    搭车问,这个对提供网页服务的微信公众号有影响么?
    Penton
        52
    Penton  
       2016-12-14 14:15:44 +08:00
    iOS 端用 CA 的不就完事了么
    honeycomb
        53
    honeycomb  
    OP
       2016-12-14 14:28:06 +08:00 via Android
    @est 花了这么多年才封完,而且对国内造成了重大损害。也是国内 Android 生态环境一锅粥的原因。这个代价不大么?

    @zeroten 这个有意思。
    est
        54
    est  
       2016-12-14 14:35:02 +08:00
    @honeycomb

    > 而且对国内造成了重大损害

    没啥伤害啊。对体制内的人有一毛线的影响么。

    > 国内 Android 生态环境一锅粥的原因。这个代价不大么?

    正是 tg 想要的啊。如果啥都被 google 控制了那还得了。
    honeycomb
        55
    honeycomb  
    OP
       2016-12-14 14:38:06 +08:00 via Android
    @est
    这就是代价嘛
    mrlawrence
        56
    mrlawrence  
       2016-12-14 16:50:13 +08:00
    解决办法多的是,下架了就下架吧。
    我用的招行 APP ,只需要身份证手机号码直接就买了,什么 12306 帐号密码都不需要。
    理论上代理商可以直接出票,对于 12306 这个 APP ,我个人是觉得没什么用(刚需)。当然,退票改签在 APP 上还是蛮方便的。
    lslqtz
        57
    lslqtz  
       2016-12-14 17:16:39 +08:00 via iPhone
    启动时要求信任数字证书
    honeycomb
        58
    honeycomb  
    OP
       2016-12-14 17:57:59 +08:00 via Android
    @lslqtz
    做不到, iOS 没有这样的能力
    更重要的是这样的应用没法上架
    goodbest
        59
    goodbest  
       2016-12-14 18:02:50 +08:00
    @honeycomb
    @lslqtz

    谁说没有这个能力?用描述文件就能增加系统根证书。
    虽然这样的 app 可能无法上架,但也的确是一种解决办法。
    7654
        60
    7654  
       2016-12-14 18:08:05 +08:00
    12306 发布企业应用,苹果能拿他怎么样?
    呵呵,敢不给铁老大发企业证书?
    honeycomb
        61
    honeycomb  
    OP
       2016-12-14 19:48:16 +08:00 via Android
    @goodbest 如果它用描述文件的做法,也能达到 appstore 下架的结果
    lslqtz
        62
    lslqtz  
       2016-12-14 19:53:33 +08:00
    @honeycomb 企业证书直接浏览器下载也不错,铁老大不差钱。
    但是苹果要是敢这么搞的话...
    goodbest
        63
    goodbest  
       2016-12-14 19:59:02 +08:00
    @honeycomb 说实话, 12306 这个客户端又不是没被苹果下架过。(Xcode Ghost 事件)

    所以真的下架了也很正常吧。
    mony
        64
    mony  
       2016-12-16 09:48:01 +08:00
    我只想问一下楼猪,苹果在哪个文档里说了必须用 CA 证书
    honeycomb
        65
    honeycomb  
    OP
       2016-12-16 10:28:26 +08:00 via Android
    @mony 搜一下关于 ATS 的信息就知道了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2620 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 07:15 · PVG 15:15 · LAX 23:15 · JFK 02:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.