行业新闻与博客

重新定义：如何信任 iOS 10.3 中的手动安装的根证书

2020年12月21日|亚洲注册

Apple 已对信任通过配置文件手动安装的根证书的方式进行了更改，这需要其他显式操作。

安装自定义配置文件的 iOS 10.3（及更高版本）上的用户将需要进入设置菜单，才能手动打开对所有包含的根证书的信任。因为安装配置文件非常容易，所以这是一项重要的安全措施，它使用户无意中信任新的根目录变得有些困难，后者随后可能为任何网站或服务颁发设备信任的证书。

仍然会自动信任与 Apple Configurator 或移动设备管理（用于企业部署的专用工具）一起安装的根。

信任 iOS 中手动安装的根证书

配置文件是配置文件，可轻松将自定义设置部署到 iPhone 或 iPad。这些配置文件可以包含访问网络或配置电子邮件帐户所需的信息。

公司和大学使用配置文件轻松部署将新设备接入其网络所需的设置。面向消费者的服务（例如 Xfinity Wi-Fi 和 Manhattan 的 LinkNYC）使用配置文件允许用户访问其公共 Wi-Fi。

信任 iOS 中手动安装的根证书但是许多用户可能没有意识到配置文件有多强大。许多配置文件（例如 Comcast 的 Xfinity Wi-Fi 使用的配置文件）都包含可用于建立安全连接的根证书。

信任恶意根是那些核级“游戏结束”方案之一。实际上，Chromium（Google 的 Chrome 浏览器所基于的开源项目）承认，如果攻击者可以在您的设备上安装根目录，那么浏览器将无能为力。

在 Windows 和 OS X 上，这是合理的。例如，在 Windows 上信任根需要花费很多步骤，包括下载根，在计算机上打开文件，然后执行导入向导。

在 iOS 上，情况则不同。在 Safari 中，只需单击网页上的按钮即可提示系统对话框，以安装自定义“配置文件”，其中可以包含供设备信任的根证书。尽管这仍然需要明确的用户操作，但 iOS 的简单性使用户更容易天真地遵循此过程，认为这是正常或适当的事情。

这可能被恶意使用。用户安装配置文件后，新证书可用于中间人攻击。这一直是一个已知的漏洞，但并不是主要关注的问题，因为尽管可行，但在大多数攻击情形中这是不切实际的。

尽管这不是一个严重的安全风险，但还是很高兴看到 Apple 在允许根证书疯狂运行之前又增加了一层“您确定”检查。

下载： 证书管理清单 Essential 14 Point Free PDF。

如果您的用户使用的是 iOS 10.3，则他们需要按照以下步骤来信任配置文件中包含的证书

如果要处理大量组织控制的设备，则可能要考虑使用 Apple Configurator 或“移动设备管理”。这两个工具都面向企业，并且将自动信任任何包含的证书。