iOS端HTTPS场景使用HTTPDNS

本文主要介绍HTTPS(含SNI)业务场景下在iOS端使用HTTPDNS时实现”IP直连“的解决方案。

重要

当前最佳实践文档介绍在实际网络请求场景中,如何使用HTTPDNS解析出的IP。关于HTTPDNS本身的解析服务,请先查看iOS SDK 开发手册

背景说明

1. HTTPS场景的特点

发送HTTPS请求首先要进行SSL/TLS握手,握手过程大致如下:

  1. 客户端发起握手请求,携带随机数、支持算法列表等参数。

  2. 服务端收到请求,选择合适的算法,下发公钥证书和随机数。

  3. 客户端对服务端证书进行校验,并发送随机数信息,该信息使用公钥加密。

  4. 服务端通过私钥获取随机数信息。

  5. 双方根据以上交互的信息生成session ticket,用作该连接后续数据传输的加密密钥。

上述过程中,和HTTPDNS有关的是第三步,客户端需要验证服务端下发的证书,验证过程有以下两个要点:

  1. 客户端用本地保存的根证书解开证书链,确认服务端下发的证书是由可信任的机构颁发的。

  2. 客户端需要检查证书的domain域和扩展域,看是否包含本次请求的host。

如果上述两点都校验通过,就证明当前的服务端是可信任的,否则就是不可信任,应当中断当前连接。

当客户端使用HTTPDNS解析域名时,请求URL中的host会被替换成HTTPDNS解析出来的IP,所以在证书验证的第2步,会出现domain不匹配的情况,导致SSL/TLS握手不成功。

2. 什么是SNI

SNI(Server Name Indication)是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它的工作原理如下:

  1. 在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname)。

  2. 服务器根据这个域名返回一个合适的证书。

目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 0.9.8也已经内置这一功能。

上述过程中,当客户端使用HTTPDNS解析域名时,请求URL中的host会被替换成HTTPDNS解析出来的IP,导致服务器获取到的域名为解析后的IP,无法找到匹配的证书,只能返回默认的证书或者不返回,所以会出现SSL/TLS握手不成功的错误。

说明

比如当你需要通过HTTPS访问CDN资源时,CDN的站点往往服务了很多的域名,所以需要通过SNI指定具体的域名证书进行通信。

非SNI场景解决方案

针对“domain不匹配”问题,可以采用如下方案解决:hook证书校验过程第2步,将IP直接替换成原来的域名,再执行证书验证。

说明

基于该方案发起网络请求,若报出SSL校验错误,比如iOS系统报错kCFStreamErrorDomainSSL, -9813; The certificate for this server is invalid,请检查应用场景是否为SNI(单IP多HTTPS域名)。

此示例针对NSURLSession接口。

/*
 * NSURLSession
 */
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {
    if (!challenge) {
        return;
    }
    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    NSURLCredential *credential = nil;
    /*
     * 获取原始域名信息。
     */
    NSString* host = [[self.request allHTTPHeaderFields] objectForKey:@"host"];
    if (!host) {
        host = self.request.URL.host;
    }
    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
        if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:host]) {
            disposition = NSURLSessionAuthChallengeUseCredential;
            credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
        } else {
            disposition = NSURLSessionAuthChallengePerformDefaultHandling;
        }
    } else {
        disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    }
    // 对于其他的challenges直接使用默认的验证方案
    completionHandler(disposition,credential);
}

SNI场景解决方案

SNI(单IP多HTTPS证书)场景下,iOS上层网络库NSURLSession没有提供接口进行SNI字段的配置,因此需要Socket层级的底层网络库例如CFNetwork,来实现IP直连网络请求适配方案。而基于CFNetwork的解决方案需要开发者考虑数据的收发、重定向、解码、缓存等问题(CFNetwork是非常底层的网络实现),希望开发者合理评估该场景的使用风险。

针对SNI场景,通过Socket层级的底层网络库实现网络请求,有两种主流方案:

  1. 自定义NSURLProtocol实现,基于CFNetwork完整实现HTTP请求逻辑,在其中hook证书校验步骤。

  2. 使用基于原生支持设置SNI字段的更底层的库,比如libcurl。

1. 自定义NSURLProtocol方案

整个实现比较复杂,我们在demo中提供了示例实现,可直接复用。参考 httpdns_ios_demo 中的 HttpDnsNSURLProtocolImpl.m 文件。

2. 其他底层网络库方案

libcurl为例,libcurl / cURL至少7.18.1(2008年3月30日)在SNI支持下编译一个 SSL/TLS 工具包,curl中有一个--resolve方法可以实现使用指定IP访问HTTPS网站。

在iOS实现中,代码如下:

// {HTTPS域名}:443:{IP地址}
NSString *curlHost = ...;
_hosts_list = curl_slist_append(_hosts_list, curlHost.UTF8String);
curl_easy_setopt(_curl, CURLOPT_RESOLVE, _hosts_list);

其中curlHost形如:{HTTPS域名}:443:{IP地址}

_hosts_list 是结构体类型hosts_list,可以设置多个IP与Host之间的映射关系。curl_easy_setopt方法中传入CURLOPT_RESOLVE 将该映射设置到 HTTPS 请求中。这样就可以达到设置SNI的目的。