我目前正在打破一个应用程序,出于教育目的,看看我是否可以公开其API。到目前为止,我做得很好。我想出了API的位置,并且通过使用像Charles这样的SSL代理,我也能够解密客户端和服务器之间的连接。
但是,鉴于我是如何做到的,我想知道iOS客户端如何验证服务器证书。有问题的应用程序的服务器证书是Rapid SSL授权的签名通配符证书。当我使用SSL代理时,我正在将其交换为我导入到我的iPhone中的Charles证书(因此它使其成为可信任的)。
我的问题:应用程序是否有某种方式可以验证用于HTTPS连接的证书来自* .mydomain.com并且是否由权限X签名?如果是这样,那么可以通过使请求失败来极大地提高应用程序的安全性。
答案 0 :(得分:1)
查看它详细描述的页面http://www.inmite.eu/en/blog/20120314-how-to-validate-ssl-certificates-iOS-client,如何检查服务器的证书以及如何接受或拒绝它。