没开启 ATS 的 iOS 应用就不能上架?你应该了解的都在这里

在今年6月15日的 WWDC 2016 开发者大会上,苹果宣布了一个最后期限:到 2017年1月1日 App Store 中的所有应用都必须启用 ATS 安全功能。

解析 ATS 安全功能

ATS,全称 App Transport Security(应用程序安全传输),是苹果在 iOS 9 中首次推出的一项隐私安全保护功能,当启用 ATS 时,它会屏蔽明文 HTTP 资源加载,强制应用程序通过 HTTPS 而不是 HTTP 连接到 Web 服务,通过加密来保障用户数据在传输过程中的安全。

苹果的 ATS(App Transport Security) 对服务器有 3 点硬性要求:

  • ATS 要求 TLS1.2 或者更高,TLS 是 SSL 新的别称。
  • 通讯中的加密套件配置要求支持列出的正向保密。
  • 数字证书必须使用 sha256 或者更高级的签名哈希算法,并且保证密钥是 2048 位及以上的 RSA 密钥或者 256 位及以上的 ECC 密钥。

苹果 ATS 通过强制 HTTPS 来达到加密要求, HTTPS 当中的“S”即是代表“安全”。比如在登录银行网银页面时, HTTPS  就会出现在浏览器地址栏中,而通过移动设备访问网页时,移动应用在网络连接安全性上面没有那么透明,用户很难知道应用连接网络时使用的是 HTTP 还是 HTTPS,这时 ATS 的作用就凸显出来。

为什么要强制开启 ATS?

对于一向重视安全问题的苹果,非常不安全的 HTTP 明文传输协议,无疑会成为其关注重点。任何的 HTTP 传输方式都相当于让数据在网络中「裸奔」,被窃听、篡改、冒充的风险非常之大。一旦被恶意攻击,就能直接获取传输信息,且 HTTP 并不验证服务器身份真实性,非常容易被篡改或假冒,用户根本无法察觉,在一些敏感信息传输上有巨大弊端。HTTPS 方式是 HTTP 的安全版本,在 HTTP 基础上增加 SSL/TLS 加密传输协议,通过加密传输和身份认证确保传输信息的安全性。ATS 开启后要求服务器必须支持 TLS 等安全协议,强制 HTTPS 方式连接网络,不满足即会拒绝连接,从而保护用户数据传输的安全。

强制开启对 App 开发者有哪些影响?

虽然之前 ATS 在 iOS 9 中默认开启,但开发者可选择关闭 ATS ,让自己的应用通过 HTTP  连接传输数据。但在 2016 WWDC 大会上,Apple 表示将继续在 iOS 10 和 macOS 10.12 里收紧对普通 HTTP 的访问限制。并宣布从 2017 年1月1日起,所有新提交 App 默认是不允许使用 NSAllowsArbitraryLoads 来绕过 ATS 限制的,也就是说,我们最好保证 App 的所有网络请求都是 HTTPS 加密的,否则可能会在应用审核时遇到麻烦。
眼看时间节点一步步逼近,所有 App 开发者和管理者都应谨慎对待,如果你的 App 还是采用 HTTP 方式传输,那么,在 App Store 中将不再能被用户下载使用!提醒开发者及时改造应用,完善安全部署,重新提交发布应用,并且所有改造均需在2017年1月1日之前完成!

 

如何在年底顺利过审上线?

近期需要提交 App 上线的开发者,更应足够重视此次安全新规,防止不必要的耽误和延迟带来致命麻烦!

另外临近圣诞、元旦等假期,以专家测试以往经验,iOS App 提交上线在这一时期均会存在严重积压,且恰逢此次安全新规正式施行,审核严度与等待时间都会增强与拖长,开发者需严格把控时间,重视审核规则,及时更改完善应用,确保一次性过审上线!

蒲公英专家测试针对此次新规实施及假期节点,以资深经验准备充足,「iOS 上线预审」可对 App 应对审核规则进行全面检查,避免 App 因审核规则被拒,确保一次性顺利过审。「iOS 审核加速」可让 App 审核缩短到最快 3 小时,大大减少等待审核时间。

如果你害怕对审核规则有所遗漏,对假期节点上线时间心生忐忑,建议「iOS 上线预审」与「iOS 审核加速」同时服务,确保 App 第一时间顺利上线!

点击查看组合服务详情