Apple 的 ATS 政策能迫使 12306 不再使用自签名证书吗？

接下来 APP 不更新了- -

自带 http 库绕过 ATS （

@Vernsu 然后呼吁大家不要升级 iOS ，全部停留在 10 么……

不过话说买个证书很难么，会浪费国家吃喝经费？

@wohenyingyu02 想用自己的根证书

@wohenyingyu02 12306 是买了证书的好嘛？ https://epay.12306.cn

我一直都好想说人家是别有目的的

@stneng
那就是说还是有证书的，但不愿意用。

那它为什么不在买票的主要域名用？不过这是另一件事情了。

12306 可以选择不兼容 apple 系的产品

我觉得能让天朝区苹果设备多加个根证书

12306 这么强悍的影响力 苹果会为它做调整的吧

12306 自签证书会进入 iOS 预置证书列表

@stneng 买的不是泛域的，限定在 epay 这个二级域名了

@Cavolo lol

如果自签 CA 能随便进入系统预置列表，那就真的呵呵了

12306 完全不虚苹果，所以只能看 12306 是否愿意了，并不能迫使

12306 宣布不支持 IOS ，你们难道就不买票了。还不是乖乖的换了平台买票，这种刚需根本就不怕什么。

@wevsty
@renyijiu
@9hills

不虚苹果的代价非常大

@honeycomb 假如 12306 直接从 app store 下架，又能如何

换个 APP 买火车票？所有的网购火车票的入口都是 12306 ，没有例外

12306 的流量一点都不会少，你总不能说没有 12306 app 后，就不买火车票了吧。那只能说你厉害

@honeycomb 第一次听说苹果比 12306 还牛逼的。 12306 是刚需，苹果跟他比毛都不是

@honeycomb 我想这还是可以理解为什么的吧。。。
@greyby 无语，他就不能买别的吗？我只是表明他是买了 ssl 的，至于为什么不给购买页面用，自行理解。

12306 宣布不支持 IOS 系统

@9hills
@warcraft1236

如果 12306 不改正，那么下架是一个很好的结果，这个意义上苹果比 12306 牛逼。

虽然我吹嘘苹果，但是我只敢拿它跟安卓比

表示从来都是在电脑上买的

@honeycomb 然后苹果用户要嘛拿安卓手机抢票，要不电脑上抢票？

@warcraft1236

说不定 12306 会退一步
然后所有人都能享受到完整证书链建立的可靠的 HTTPS 页面

他可以不用 https 自己去实现 tls 加密不就行了，还能骗一堆国家经费

然后我们会看到 CFCA 或者 StartCom 签发的 12306 证书……

@Cavolo 没经过 WebTrust 审计的 CA 是不可能内置的

像我都用第三方 app, 12306 更新也没事

@wdlth
CFCA 不在 iOS 的 CA 列表中
StartCom 刚刚被苹果拉黑， wosign 只能从别人那里搞了一个中级证书

@honeycomb 错了， CFCA 已经在 IOS 10.1 的根证书内了。。：）我单位考虑到照顾低版本系统用户，还是高价买国外证书，但是几年后可以改用 CFCA 了

没准 api 用的标准证书
web 站点继续用自签证书恶心人

支付裱里的火车票是直接让你输 12306 账号密码的，所以确实可以不用装 12306 app （逃

…… ats 加个例外不就好了

@stneng 打不开
Error 404--Not Found
From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
10.4.5 404 Not Found

The server has not found anything matching the Request-URI. No indication is given of whether the condition is temporary or permanent.

If the server does not wish to make this information available to the client, the status code 403 (Forbidden) can be used instead. The 410 (Gone) status code SHOULD be used if the server knows, through some internally configurable mechanism, that an old resource is permanently unavailable and has no forwarding address.

@honeycomb CFCA EV Root 已经在 iOS10 和 macOS 10.12 的 trusted CA zone 了………… macOS 10.12 可以一键移除 CFCA CA, 可是 iOS10 就不行了……………
@lasse 很可惜，我是不会登入你公司的网站了…………已经拉黑 CFCA …………

@warcraft1236 刚需个鬼！我可以买飞机票，再不济，付钱让他人代买，如果 Apple 将 12306 的垃圾证书加入 trusted CA zone, Apple 真的药丸了

@honeycomb 对了， StartCom 的三个根证书仍然在 iOS10 和 macOS 10.12 的 trusted CA zone 中， Apple 拉黑的是 Wosign 签发的一个免费证书…………

如果 Apple 允许用户可以自行拉黑 CA 证书就好了…………… Android7.0 就是一个很好的榜样。

@honeycomb
@lasse 讲道理 CFCA 还是个正儿八经的 CA 的，比 12306 那玩意高到不知道哪里去了

看楼上几位津津有味地鄙视苹果，不禁产生一种错位感——假使 12306 由于没有符合标准的证书而从 app store 下架，这件事中应受鄙视的难道不是 12306 吗？

当然如果你是那种腥沉大海、“看到强国这么流氓我就放心了”，那的确也无可反驳。

@starvedcat 讨论的重点不是鄙视不鄙视，是到底谁会让步。

@tyfulcrum 怎么讲。。。 google 在我国不就被玩惨了。。。

@BXIA 正儿八经的 CA ，呵呵………

参考 银行 IE

不能，参考楼上给出的 12306 使用正常证书签名的域名。
可能也就是 iOS 端使用正常证书的域名，其余照旧自签名。

@honeycomb 你太高看 12306 了

Apple iOS 10.3 Update:

new features
1. add 12306CA trust certificate chain.
2. ....

@honeycomb 有啥代价？

当年封 gmail 你们不也说 tg 不敢封代价非常大么。

代价就是个屁。

搭车问，这个对提供网页服务的微信公众号有影响么？

iOS 端用 CA 的不就完事了么

@est 花了这么多年才封完，而且对国内造成了重大损害。也是国内 Android 生态环境一锅粥的原因。这个代价不大么？

@zeroten 这个有意思。

@honeycomb

> 而且对国内造成了重大损害

没啥伤害啊。对体制内的人有一毛线的影响么。

> 国内 Android 生态环境一锅粥的原因。这个代价不大么？

正是 tg 想要的啊。如果啥都被 google 控制了那还得了。

@est
这就是代价嘛

解决办法多的是，下架了就下架吧。
我用的招行 APP ，只需要身份证手机号码直接就买了，什么 12306 帐号密码都不需要。
理论上代理商可以直接出票，对于 12306 这个 APP ，我个人是觉得没什么用（刚需）。当然，退票改签在 APP 上还是蛮方便的。

启动时要求信任数字证书

@lslqtz
做不到， iOS 没有这样的能力
更重要的是这样的应用没法上架

@honeycomb
@lslqtz

谁说没有这个能力？用描述文件就能增加系统根证书。
虽然这样的 app 可能无法上架，但也的确是一种解决办法。

12306 发布企业应用，苹果能拿他怎么样？
呵呵，敢不给铁老大发企业证书？

@goodbest 如果它用描述文件的做法，也能达到 appstore 下架的结果

@honeycomb 企业证书直接浏览器下载也不错，铁老大不差钱。
但是苹果要是敢这么搞的话...

@honeycomb 说实话， 12306 这个客户端又不是没被苹果下架过。(Xcode Ghost 事件)

所以真的下架了也很正常吧。

我只想问一下楼猪，苹果在哪个文档里说了必须用 CA 证书

@mony 搜一下关于 ATS 的信息就知道了