iOS / Security.Framework的CRL和OCSP行为?

我正在试图弄清楚在使用Security.Framework验证证书时证书的撤销时的iOS政策。 我在iOS的文档中找不到相关信息。 在我正在进行的iPad项目的背景下,有理由要求检查某些证书的撤销状态。有关如何使用Security.Framework在证书验证期间强制CRL / OCSP检查的任何想法?或者我是否需要“退回”OpenSSL才能实现这一目标? 似乎在Mac OS X 10.6 CRL / OCSP检查也是可选的,必须通过Keychain Access手动打开。 马亭     
2019-11-05 4 条评论
分享

没有找到相关结果

    已邀请:

    社攻取墟槽

    我有苹果公司的这个问题的答案,我在这里发布了完整的答案: 有关iOS上的SSL / TLS证书吊销机制的详细信息 总而言之,iOS上的OCSP实现需要注意以下几点: 目前无法配置OCSP策略 它仅适用于EV证书 高级别的东西,如NSURLConnection或UIWebView使用TLS安全策略,它使用OCSP SecTrustEvaluate是阻止网络操作 它是“最佳尝试” - 如果无法联系OCSP服务器,信任评估不会失败     
    2019-11-05 0 0
    分享

    芜任亮蜡

    我能够在iOS 10上启用CRL检查
    SecTrustRef
    对象: 
    SecTrustRef trust = ...; // from TLS challenge
CFArrayRef oldPolicies;
SecTrustCopyPolicies(trust, &oldPolicies);
SecPolicyRef revocationPolicy = SecPolicyCreateRevocation(kSecRevocationCRLMethod);
NSArray *newPolicies = [(__bridge NSArray *)oldPolicies arrayByAddingObject(__bridge id)revocationPolicy];
CFRelease(oldPolicies);
SecTrustSetPolicies(trust, (__bridge CFArrayRef)newPolicies);
SecTrustSetNetworkFetchAllowed(trust, true);

// Check the trust object
SecTrustResult result = kSecTrustResultInvalid;
SecTrustEvaluate(trust, &result);
// cert revoked -> kSecTrustResultRecoverableTrustFailure
    拨打
    SecTrustSetNetworkFetchAllowed
    是关键。没有那个电话,
    SecTrustEvaluate
    返回了
    kSecTrustResultUnspecified
    。     
    2019-11-05 0 0
    分享

    芯伶句餐绕

    我刚刚在iOS上的GCDAsyncSocket中做过这个。 对于给定的SecTrustRef信任; 做这个 
    SecPolicyRef policy = SecPolicyCreateRevocation(kSecRevocationOCSPMethod)
SecTrustSetPolicies(trust, policy);
SecTrustResultType trustResultType = kSecTrustResultInvalid;
OSStatus status = SecTrustEvaluate(trust, &trustResultType);
if (status == errSecSuccess && trustResultType == kSecTrustResultProceed)
{
   //good!
}
else
{
   //not good
}
    //编辑以检查trustResultType     
    2019-11-05 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.038621187210083