NSURLSession对其NSURLAuthenticationChallenge serverTrust使用什么策略?

时间:2016-08-23 10:48:05

标签: ios security ssl ocsp certificate-revocation

SecPolicy 标题下, SecPolicyCreateRevocation 文档说明了

  

"注意:通常没有必要创建撤销策略   除非您希望覆盖默认系统行为(例如   强制使用特定方法,或禁用吊销检查   完全)"

Technical Note TN2232‌"强制执行更严格的服务器信任评估"说明

  

SecPolicyCreateRevocation允许您创建安全策略   专门检查证书撤销(例如,通过OCSP   或CRL)。

这个帖子Re: Evaluation of certificates revocation (CRL/OCSP)表明iOS确实支持CRL / OCSP,但是在非常有限的情况下完成了 "

来自Apple Trust Policy Module Functional Specification

强调我的。

  

2.4.2撤销政策

     

撤销政策是指TP实施的政策   其中(可选)检查给定证书中的证书   连锁店已被其发行人撤销。目前有两个   撤销政策:证书撤销清单(CRL)和在线   证书状态协议(OCSP)。这两个策略都可选   涉及在验证期间从互联网上取物品   证书; 都涉及TP中的所有项目的缓存(内存中,开启   在每个进程的基础上)和系统中的其他地方(在磁盘上,在缓存中)   由所有用户共享);

.-

考虑到这一点,

  1. NSURLSession用于服务器信任的撤销策略是什么? (即参考SecPolicy标题下的撤销政策常量)
  2. 检查证书是否已被发行人撤销的情况是什么?
  3. 缓存CRL / OCSP响应多长时间以及控制缓存的人员或内容是什么?
  4. 使用 SecPolicyCreateRevocation 使用URLSession:didReceiveChallenge:completionHandler:‌创建吊销策略,并使用 SecTrustSetPolicies 将其设置为 NSURLAuthenticationChallenge 中的服务器信任>?
  5. 是否使用CRL / OCSP检查了扩展验证(EV)和简单域验证证书?

    6. 您能否澄清哪些版本的iOS(8,9,10)适用于哪些答案?

    谢谢

0 个答案:

没有答案
相关问题
最新问题