ios swift POST 错误 NSURLSession/NSURLConnection HTTP 加载失败 (kCFStreamErrorDomainSSL, -9824)

【问题标题】:ios swift POST error NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9824)ios swift POST 错误 NSURLSession/NSURLConnection HTTP 加载失败 (kCFStreamErrorDomainSSL, -9824)
【发布时间】:2016-03-27 21:53:22
【问题描述】:

在 ios9 上向 https 服务器发送 https post 请求时出现错误

NSURLSession/NSURLConnection HTTP 加载失败 (kCFStreamErrorDomainSSL, -9824) 发生 SSL 错误,无法与服务器建立安全连接。

我的 info.pst 有

  <key>NSExceptionDomains</key>       <dict>          <key>myserver.com</key>
      <dict>
          <key>NSExceptionRequiresForwardSecrecy</key>
          <false/>
          <key>NSExceptionMinimumTLSVersion</key>
          <string>TLSv1.0</string>
          <key>NSExceptionAllowsInsecureHTTPLoads</key>
          <true/>
          <key>NSIncludesSubdomains</key>
          <true/>             </dict>         </dict>

我尝试使用

禁用 ATS 
  <key>NSAppTransportSecurity</key>
    <dict>
        <key>NSAllowsArbitraryLoads</key>
        <true/>
              </dict>

但我得到了一个不同的错误 HTTP 加载失败 (kCFStreamErrorDomainSSL, -9813)

Myserver.com 使用 TLS 1.0。 连接使用 AES_256_CBC 进行加密,使用 HMAC-SHA1 进行消息身份验证,使用 RSA 作为密钥交换机制。

更新:从 ssllabs.com 添加 ssl 报告

身份验证

服务器密钥和证书 #1 主题虚拟证书指纹 SHA1:3449de1a15e1ecc81f934aed4587d93b56befd94 引脚 SHA256: SLJAAtLuQ5nALXXAWlM30bBFQfurZ+QnxdZK5g4O11E= 通用名称 虚拟 证书不匹配替代名称 - 自 2009 年 1 月 14 日星期三起生效 21:36:55 UTC 有效期至 2029 年 1 月 9 日星期二 21:36:55 UTC(12 日到期 年零 9 个月)密钥 RSA 1024 位(指数 65537) WEAK 弱密钥 (Debian) No Issuer Dummy Certificate 自签名签名 算法 MD5withRSA INSECURE Extended Validation 无证书 透明度 否 撤销信息 无 可信 不 不可信 (为什么?)

附加证书(如果提供) 提供的证书 1 (491 字节)链问题无

认证路径路径 #1:不可信(路径不链接到 受信任的锚点) 1 由服务器发送 不在信任存储中 Dummy 证书自签名指纹 SHA1: 3449de1a15e1ecc81f934aed4587d93b56befd94 引脚 SHA256: SLJAAtLuQ5nALXXAWlM30bBFQfurZ+QnxdZK5g4O11E= RSA 1024 位 (e 65537) / MD5withRSA WEAK KEY 弱或不安全的签名,但对 根证书配置

协议 TLS 1.2 否 TLS 1.1 否 TLS 1.0 是 SSL 3 否 SSL 2 否

密码套件(SSL 3+ 套件,服务器优先顺序;已弃用和 最后的 SSL 2 套件) TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128 TLS_RSA_WITH_RC4_128_SHA (0x5) 不安全 128 TLS_RSA_WITH_RC4_128_MD5 (0x4) 不安全 128 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112

握手模拟 Android 2.3.7 无 SNI 2 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA 无 FS Android 4.0.4 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Android 4.1.1 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Android 4.2.2 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Android 4.3 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Android 4.4.2 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Android 5.0.0 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 否 FS 百度 2015 年 1 月 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 否 FS BingPreview 2015 年 1 月 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Chrome 48 / OS X R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS 火狐 31.3.0 ESR / Win 7 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 没有 FS Firefox 42 / OS X R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 没有 FS Firefox 44 / OS X R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Googlebot 2015 年 2 月 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS IE 6 / XP 无 FS 1 无 SNI 2 服务器关闭连接 IE 7 / Vista RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS IE 8 / XP 无 FS 1 无 SNI 2 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_RC4_128_SHA RC4 IE 8-10 / 赢 7 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS IE 11 / 赢 7 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS IE 11 / Win 8.1 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 没有 FS IE 10/Win 手机 8.0 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 没有 FS IE 11/Win 手机 8.1 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA No FS IE 11 / Win Phone 8.1 更新 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS IE 11 / Win 10 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Edge 13 / Win 10 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS 边缘 13 / 赢电话 10 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Java 6u45 无 SNI 2 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA 无 FS Java 7u25 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA 无 FS Java 8u31 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA 否 FS OpenSSL 0.9.8y RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS OpenSSL 1.0.1l R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS OpenSSL 1.0.2e R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 没有 FS Safari 5.1.9 / OS X 10.6.8 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 没有 FS Safari 6 / iOS 6.0.1 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 否 FS Safari 6.0.4 / OS X 10.8.4 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Safari 7 / iOS 7.1 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Safari 7 / OS X 10.9 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Safari 8 / iOS 8.4 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Safari 8 / OS X 10.10 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Safari 9 / iOS 9 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS Safari 9 / OS X 10.11 R RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA No FS Apple ATS 9 / iOS 9 R 服务器发送致命警报:handshake_failure Yahoo Slurp Jan 2015 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 否 FS YandexBot Jan 2015 RSA 1024 (MD5) TLS 1.0 TLS_RSA_WITH_AES_256_CBC_SHA 无 FS (1) 不支持前向保密 (FS) 的客户端在以下情况下被排除在外 确定对它的支持。 (2) 不支持虚拟 SSL 托管 (SNI)。如果服务器使用 SNI,则连接到默认站点。 (3) 只有 模拟第一次连接尝试。浏览器有时会重试 较低的协议版本。 (R) 表示参考浏览器或客户端, 我们期待更好的有效安全性。 (全部)我们使用默认值, 但有些平台没有使用它们最好的协议和功能(例如, Java 6 和 7,旧版 IE)。

协议详情 DROWN(实验性)IP 地址端口出口特殊状态 54.64.244.95 443 是 是 易受攻击(与 SSL v2 相同的密钥) 217.89.70.156 443 是 是 未选中 195.167.179.101 443 是 是 未选中 209.166.166.21 443 是 是 未选中 46.105.254.39 443 是 是 未选中 212.35.116.41 443 是 否 未检查 54.83.3.22 443 是 是 未选中 120.76.43.8 443 是 是 未选中 52.30.94.252 443 是 是 未选中 116.213.215.22 443 是 是 未选中 202.217.48.250 443 是 是 未选中 52.74.112.186 443 是 是 未选中 134.65.5.183 443 是 是 未选中 146.82.88.157 443 是 是 未选中 79.99.32.99 443 是 是 未选中 185.59.164.24 443 是 是 未选中 195.246.16.19 443 是 是 未选中 193.95.228.59 443 是 是 未选中 52.49.49.147 443 是 是 未选中 209.166.166.58 443 是 是 未勾选 206.18.241.170 443 是 是 未选中 68.71.100.110 443 是 是 未选中 54.83.4.144 443 是 是 未选中 144.34.10.154 443 是 是 未选中 121.41.22.133 443 是 是 未选中 89.236.107.116 443 是 是 未选中 116.213.215.21 443 是 是 未选中 211.94.93.245 443 是 是 未选中 52.31.237.200 443 是 是 未选中 31.14.137.165 443 是 是 未选中 209.61.135.205 443 否 是 未检查 54.65.106.240 443 是 是 未选中 203.182.36.10 443 是 是 未选中 194.126.208.94 443 是 是 未选中 199.43.209.147 443 是 是 未选中 216.32.194.132 443 是 是 未选中 52.74.168.71 443 是 是 未选中 49.231.16.61 443 是 是 未选中 101.231.206.152 443 是 是 未选中 166.78.43.90 443 否 是 未选中 144.34.10.153 443 是 是 未选中 184.173.17.183 443 是 是 未选中 54.83.4.148 443 是 是 未选中 193.15.201.74 443 是 是 未检查 198.11.237.88 443 是 是 未选中 54.83.4.142 443 是 是 未选中 167.219.19.1 443 是 是 未检查 52.18.134.67 443 是 是 未选中 202.217.48.210 443 是 是 未选中 219.239.94.78 443 是 是 未选中 144.34.10.152 443 是 是 未选中 120.25.144.137 443 是 是 未选中 206.18.241.171 443 是 是 未选中 54.255.177.46 443 是 是 未选中 61.8.234.239 443 是 是 未选中 195.246.16.20 443 是 是 未选中 5.153.50.91 443 是 是 未选中 116.213.215.12 443 是 是 未选中 118.145.20.104 443 是 是 未选中 199.106.146.196 443 是 是 未选中 194.6.195.138 443 是 是 未选中 219.239.94.75 443 是 是 未选中 134.65.7.97 443 是 是 未选中 54.83.4.141 443 是 是 未选中 23.246.192.246 443 是 是 未选中 193.15.201.71 443 是 是 未检查 195.198.142.218 443 是 是 未勾选 209.61.135.204 443 否 是 未检查 144.34.10.151 443 是 是 未选中 54.172.242.114 443 是 是 未选中 116.213.215.16 443 是 是 未选中 116.213.215.39 443 是 是 未选中 139.219.133.76 443 是 是 未选中 72.3.166.215 443 否 是 未选中 75.89.220.209 443 是 是 未选中 217.89.135.187 443 是 是 未选中 54.209.9.96 443 是 是 未选中 54.83.3.12 443 是 是 未选中 140.239.26.70 443 是 是 未选中 116.213.215.19 443 是 是 未选中 213.221.87.106 443 是 是 未选中 52.48.52.65 443 是 是 未选中 61.160.121.200 443 是 是 未选中 52.18.87.225 443 是 是 未选中 54.77.148.144 443 是 是 未选中 184.173.86.115 443 是 是 未选中 5.153.57.96 443 是 是 未选中 206.18.241.130 443 是 是 未选中 203.126.84.111 44​​3 是 是 未选中 116.213.215.17 443 是 是 未选中 54.209.27.62 443 是 是 未选中 206.18.241.131 443 是 是 未勾选 (1) 为了更好地理解这个测试,请阅读这个更长的解释 (2) 关键使用数据 由Censys网络搜索引擎友情提供;原创 溺水 此处测试 (3) Censys 数据仅指示可能的关键和 证书重用;可能已过时且不完整 (4) 我们执行 实时密钥重用检查,但首次确认后停止检查 漏洞(5)“特殊”栏表示易受攻击的OpenSSL 版本; “导出”是指导出密码套件 Secure 支持重新协商 安全客户端发起的重新协商 否 不安全的客户端发起的重新协商 没有 BEAST 攻击 没有缓解 服务器端(更多信息)TLS 1.0:0x35 POODLE (SSLv3) 不,SSL 3 不 支持(更多信息)POODLE(TLS)否(更多信息)降级攻击 预防未知(需要支持至少两个协议,不包括。 SSL2) SSL/TLS 压缩 否 RC4 是 不安全(更多信息) Heartbeat (扩展)没有心脏出血(漏洞)没有(更多信息)OpenSSL CCS 漏洞。 (CVE-2014-0224) 否 (更多信息) 前向保密 否 WEAK (更多 info) ALPN 否 NPN 否 会话恢复(缓存) 是 会话 恢复(票证) 没有 OCSP 装订 没有严格的传输安全 (HSTS) No HSTS Preloading Not in: Chrome Edge Firefox IE Tor 公钥固定 (HPKP) 无公钥固定报告 - 仅无长 握手不容忍 无 TLS 扩展不容忍 无 TLS 版本 不容忍 TLS 1.98 TLS 2.98 不正确的 SNI 警报 否 使用常见的 DH primes 否,不支持 DHE 套件 DH 公共服务器参数 (Ys) 重用 否,不支持 DHE 套件 SSL 2 握手兼容性 是

其他测试日期 2016 年 3 月 28 日星期一 15:16:39 UTC 测试 持续时间 37.404 秒 HTTP 状态代码 302 HTTP 转发http://myserver.com PLAINTEXT HTTP 服务器签名 - 服务器主机名 IP-216-37-62-164.nframe.net

Xcode 7.3 OSX 10.11.13 苹果 Swift 2.2 版

有人可以帮忙吗?

【问题讨论】:

  • 你能用ssllabs.com测试你的服务器配置吗?
  • 实际上我使用了第三方 API 域@Tom,我该如何克服这个问题?
  • 你可以测试那个第三方的域名
  • @Tom,我已经在 ssllabs 上运行了 ssl 报告。它使用虚拟证书,TLS 1.0。有很多细节。我如何理解这些来解决我的错误。我要在此处发布该报告吗?
  • 如果能贴出来就更好了

标签: ios swift ssl https


【解决方案1】:

根据 ssllabs 报告:

  1. 证书不受信任

  2. 即使它是受信任的,证书对该域也无效

  3. 服务器响应重定向(可能是http版本)

【讨论】:

  • 仅用于开发和测试,我可以禁用此限制并对该域进行 Https post rest 调用。我还检查了 http 调用,它们不工作。生产域应该有有效的 ssl。它只适用于开发机器。
猜你喜欢
  • 1970-01-01
  • 2016-10-19
  • 1970-01-01
  • 1970-01-01
  • 2017-01-26
  • 2015-09-04
  • 1970-01-01
  • 1970-01-01
  • 2015-12-29
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode