Apple 的 ATS 政策能迫使 12306 不再使用自签名证书吗？

honeycomb · 2016-12-13T10:00:37Z

ATS 政策要求必须使用 iOS 内置 CA 颁发的证书，而 12306 的 app 显然没有合理的理由使用明文连接，也不可能使用自签名证书（ ATS 政策不允许）。如此接下来会发生什么？

ats

证书

签名

使用

65 replies • 2016-12-16 10:28:26 +08:00

1

Vernsu

Dec 13, 2016

接下来 APP 不更新了- -

2

hjc4869

Dec 13, 2016

自带 http 库绕过 ATS （

3

wohenyingyu02

Dec 13, 2016

@Vernsu 然后呼吁大家不要升级 iOS ，全部停留在 10 么……

不过话说买个证书很难么，会浪费国家吃喝经费？

4

CloudnuY

Dec 13, 2016

@wohenyingyu02 想用自己的根证书

5

stneng

Dec 13, 2016

@wohenyingyu02 12306 是买了证书的好嘛？ https://epay.12306.cn

6

SourceMan

Dec 13, 2016

我一直都好想说人家是别有目的的

7

honeycomb

OP

Dec 13, 2016 via Android

@stneng
那就是说还是有证书的，但不愿意用。

那它为什么不在买票的主要域名用？不过这是另一件事情了。

8

wevsty

Dec 13, 2016

12306 可以选择不兼容 apple 系的产品

9

ZRS

Dec 13, 2016

我觉得能让天朝区苹果设备多加个根证书

10

hanbing135

Dec 13, 2016 via Android

12306 这么强悍的影响力苹果会为它做调整的吧

11

Cavolo

Dec 13, 2016 via iPhone

12306 自签证书会进入 iOS 预置证书列表

12

greyby

Dec 13, 2016

@stneng 买的不是泛域的，限定在 epay 这个二级域名了

13

graycreate

Dec 13, 2016

@Cavolo lol

14

micyng

Dec 13, 2016

如果自签 CA 能随便进入系统预置列表，那就真的呵呵了

15

renyijiu

Dec 13, 2016

12306 完全不虚苹果，所以只能看 12306 是否愿意了，并不能迫使

16

9hills

Dec 13, 2016

12306 宣布不支持 IOS ，你们难道就不买票了。还不是乖乖的换了平台买票，这种刚需根本就不怕什么。

17

honeycomb

OP

Dec 13, 2016

@wevsty
@renyijiu
@9hills

不虚苹果的代价非常大

18

9hills

Dec 13, 2016

@honeycomb 假如 12306 直接从 app store 下架，又能如何

换个 APP 买火车票？所有的网购火车票的入口都是 12306 ，没有例外

12306 的流量一点都不会少，你总不能说没有 12306 app 后，就不买火车票了吧。那只能说你厉害

19

daiqiangbudainiu

Dec 13, 2016

@honeycomb 第一次听说苹果比 12306 还牛逼的。 12306 是刚需，苹果跟他比毛都不是

20

stneng

Dec 13, 2016

@honeycomb 我想这还是可以理解为什么的吧。。。
@greyby 无语，他就不能买别的吗？我只是表明他是买了 ssl 的，至于为什么不给购买页面用，自行理解。

21

2225377fjs

Dec 13, 2016

12306 宣布不支持 IOS 系统

22

honeycomb

OP

Dec 13, 2016

@9hills
@warcraft1236

如果 12306 不改正，那么下架是一个很好的结果，这个意义上苹果比 12306 牛逼。

23

SourceMan

Dec 13, 2016 via iPhone

虽然我吹嘘苹果，但是我只敢拿它跟安卓比

24

helloSwift

Dec 13, 2016

表示从来都是在电脑上买的

25

daiqiangbudainiu

Dec 13, 2016

@honeycomb 然后苹果用户要嘛拿安卓手机抢票，要不电脑上抢票？

26

honeycomb

OP

Dec 13, 2016

@warcraft1236

说不定 12306 会退一步
然后所有人都能享受到完整证书链建立的可靠的 HTTPS 页面

27

wwqgtxx

Dec 13, 2016 via iPhone

他可以不用 https 自己去实现 tls 加密不就行了，还能骗一堆国家经费

28

wdlth

Dec 13, 2016

然后我们会看到 CFCA 或者 StartCom 签发的 12306 证书……

29

billlee

Dec 13, 2016

3

@Cavolo 没经过 WebTrust 审计的 CA 是不可能内置的

30

hewigovens

Dec 13, 2016

像我都用第三方 app, 12306 更新也没事

31

honeycomb

OP

Dec 13, 2016

@wdlth
CFCA 不在 iOS 的 CA 列表中
StartCom 刚刚被苹果拉黑， wosign 只能从别人那里搞了一个中级证书

32

lasse

Dec 13, 2016

1

@honeycomb 错了， CFCA 已经在 IOS 10.1 的根证书内了。。：）我单位考虑到照顾低版本系统用户，还是高价买国外证书，但是几年后可以改用 CFCA 了

33

lshero

Dec 13, 2016

没准 api 用的标准证书
web 站点继续用自签证书恶心人

34

zsj950618

Dec 14, 2016

支付裱里的火车票是直接让你输 12306 账号密码的，所以确实可以不用装 12306 app （逃

35

yov123456

Dec 14, 2016 via iPhone

…… ats 加个例外不就好了

36

qceytzn

Dec 14, 2016

@stneng 打不开
Error 404--Not Found
From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
10.4.5 404 Not Found

The server has not found anything matching the Request-URI. No indication is given of whether the condition is temporary or permanent.

If the server does not wish to make this information available to the client, the status code 403 (Forbidden) can be used instead. The 410 (Gone) status code SHOULD be used if the server knows, through some internally configurable mechanism, that an old resource is permanently unavailable and has no forwarding address.

37

nvidiaAMD980X

Dec 14, 2016 via Android

1

@honeycomb CFCA EV Root 已经在 iOS10 和 macOS 10.12 的 trusted CA zone 了………… macOS 10.12 可以一键移除 CFCA CA, 可是 iOS10 就不行了……………
@lasse 很可惜，我是不会登入你公司的网站了…………已经拉黑 CFCA …………

38

nvidiaAMD980X

Dec 14, 2016 via Android

@warcraft1236 刚需个鬼！我可以买飞机票，再不济，付钱让他人代买，如果 Apple 将 12306 的垃圾证书加入 trusted CA zone, Apple 真的药丸了

39

nvidiaAMD980X

Dec 14, 2016 via Android

@honeycomb 对了， StartCom 的三个根证书仍然在 iOS10 和 macOS 10.12 的 trusted CA zone 中， Apple 拉黑的是 Wosign 签发的一个免费证书…………

如果 Apple 允许用户可以自行拉黑 CA 证书就好了…………… Android7.0 就是一个很好的榜样。

40

RqPS6rhmP3Nyn3Tm

Dec 14, 2016 via iPhone

@honeycomb
@lasse 讲道理 CFCA 还是个正儿八经的 CA 的，比 12306 那玩意高到不知道哪里去了

41

starvedcat

Dec 14, 2016

看楼上几位津津有味地鄙视苹果，不禁产生一种错位感——假使 12306 由于没有符合标准的证书而从 app store 下架，这件事中应受鄙视的难道不是 12306 吗？

42

starvedcat

Dec 14, 2016

当然如果你是那种腥沉大海、“看到强国这么流氓我就放心了”，那的确也无可反驳。

43

tyfulcrum

Dec 14, 2016 via iPhone

@starvedcat 讨论的重点不是鄙视不鄙视，是到底谁会让步。

44

ChopinWong

Dec 14, 2016

@tyfulcrum 怎么讲。。。 google 在我国不就被玩惨了。。。

45

nvidiaAMD980X

Dec 14, 2016 via Android

@BXIA 正儿八经的 CA ，呵呵………

46

gqfBzoLVY3Wl4Tng

Dec 14, 2016

参考银行 IE

47

aliuwr

Dec 14, 2016

不能，参考楼上给出的 12306 使用正常证书签名的域名。
可能也就是 iOS 端使用正常证书的域名，其余照旧自签名。

48

daiqiangbudainiu

Dec 14, 2016

@honeycomb 你太高看 12306 了

49

j8sec

Dec 14, 2016

Apple iOS 10.3 Update:

new features
1. add 12306CA trust certificate chain.
2. ....

50

est

Dec 14, 2016

@honeycomb 有啥代价？

当年封 gmail 你们不也说 tg 不敢封代价非常大么。

代价就是个屁。

51

zeroten

Dec 14, 2016

1

搭车问，这个对提供网页服务的微信公众号有影响么？

52

Penton

Dec 14, 2016

iOS 端用 CA 的不就完事了么

53

honeycomb

OP

Dec 14, 2016 via Android

@est 花了这么多年才封完，而且对国内造成了重大损害。也是国内 Android 生态环境一锅粥的原因。这个代价不大么？

@zeroten 这个有意思。

54

est

Dec 14, 2016

@honeycomb

> 而且对国内造成了重大损害

没啥伤害啊。对体制内的人有一毛线的影响么。

> 国内 Android 生态环境一锅粥的原因。这个代价不大么？

正是 tg 想要的啊。如果啥都被 google 控制了那还得了。

55

honeycomb

OP

Dec 14, 2016 via Android

@est
这就是代价嘛

56

mrlawrence

Dec 14, 2016

解决办法多的是，下架了就下架吧。
我用的招行 APP ，只需要身份证手机号码直接就买了，什么 12306 帐号密码都不需要。
理论上代理商可以直接出票，对于 12306 这个 APP ，我个人是觉得没什么用（刚需）。当然，退票改签在 APP 上还是蛮方便的。

57

lslqtz

Dec 14, 2016 via iPhone

启动时要求信任数字证书

58

honeycomb

OP

Dec 14, 2016 via Android

@lslqtz
做不到， iOS 没有这样的能力
更重要的是这样的应用没法上架

59

goodbest

Dec 14, 2016

@honeycomb
@lslqtz

谁说没有这个能力？用描述文件就能增加系统根证书。
虽然这样的 app 可能无法上架，但也的确是一种解决办法。

60

7654

Dec 14, 2016

12306 发布企业应用，苹果能拿他怎么样？
呵呵，敢不给铁老大发企业证书？

61

honeycomb

OP

Dec 14, 2016 via Android

@goodbest 如果它用描述文件的做法，也能达到 appstore 下架的结果

62

lslqtz

Dec 14, 2016

@honeycomb 企业证书直接浏览器下载也不错，铁老大不差钱。
但是苹果要是敢这么搞的话...

63

goodbest

Dec 14, 2016

@honeycomb 说实话， 12306 这个客户端又不是没被苹果下架过。(Xcode Ghost 事件)

所以真的下架了也很正常吧。

64

mony

Dec 16, 2016

我只想问一下楼猪，苹果在哪个文档里说了必须用 CA 证书

65

honeycomb

OP

Dec 16, 2016 via Android

@mony 搜一下关于 ATS 的信息就知道了