Évaluation du certificat de serveur

Question

Comment puis-je détecter un certificat auto-signé d'un certificat révoqué ou expiré?

J'utilise NSURLConnection et connexion mise en œuvre: didReceiveAuthenticationChallenge: le délégué:

- (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge{ 
    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]){ 
     NSURLProtectionSpace *tmpSpace=[challenge protectionSpace]; 
     SecTrustRef currentServerTrust=[tmpSpace serverTrust]; 
     SecTrustResultType trustResult; 
     OSStatus err = SecTrustEvaluate(currentServerTrust, &trustResult); 
     BOOL trusted = (err == noErr) && ((trustResult == kSecTrustResultProceed) ||           (trustResult == kSecTrustResultUnspecified)); 
     if (trusted){ 
      // Do something 
     } 
    } 
} 

Actuellement, le « if (confiance) {} » bloc ne fonctionne que pour les certificats de confiance par iOS, je veux travailler pour d'autres aussi, mais seulement si le certificat n'est pas révoqué ou expiré.

La documentation utilise SecTrustSettingsSetTrustSettings pour modifier les paramètres et réévaluer l'approbation. mais je ne pouvais pas trouver cette méthode (ou le SecTrustSetting) pour iOS, seulement pour Mac.

Merci

Answer 1

Pour l'évaluation de la confiance pour réussir,

1. vous devez avoir l'ancre (racine CA cert) intalled sur l'appareil. Ou, vous spécifiez une ancre lors de l'exécution à l'aide SecTrustSetAnchorCertificates().

Dans les deux cas, vous devez avoir accès au certificat d'ancrage.

Answer 2

lire mon post ici sur cette question:

Details on SSL/TLS certificate revocation mechanisms on iOS

CRL and OCSP behavior of iOS/Security.Framework?

En gros:

• OCSP est utilisé pour les certificats EV
• œuvres "best effort"
• est ab opération de verrouillage.