1. 背景说明

本文主要介绍 HTTPS(含SNI) 业务场景下在 iOS 端实现 “IP直连” 的通用解决方案。

1.1 HTTPS

发送 HTTPS 请求首先要进行 SSL/TLS 握手，握手过程大致如下：

1. 客户端发起握手请求，携带随机数、支持算法列表等参数。
2. 服务端收到请求，选择合适的算法，下发公钥证书和随机数。
3. 客户端对服务端证书进行校验，并发送随机数信息，该信息使用公钥加密。
4. 服务端通过私钥获取随机数信息。
5. 双方根据以上交互的信息生成session ticket，用作该连接后续数据传输的加密密钥。

上述过程中，和“IP直连”有关的是第3步，客户端需要验证服务端下发的证书，验证过程有以下两个要点：

1. 客户端用本地保存的根证书解开证书链，确认服务端下发的证书是由可信任的机构颁发的。
2. 客户端需要检查证书的 domain 域和扩展域，看是否包含本次请求的 host。

如果上述两点都校验通过，就证明当前的服务端是可信任的，否则就是不可信任，应当中断当前连接。

当客户端使用“IP直连”解析域名时，请求URL中的host会被替换成解析出来的IP，所以在证书验证的第2步，会出现domain不匹配的情况，导致SSL/TLS握手不成功。

1.2 SNI

SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它的工作原理如下：

1. 在连接到服务器建立SSL链接之前先发送要访问站点的域名（Hostname）。
2. 服务器根据这个域名返回一个合适的证书。

目前，大多数操作系统和浏览器都已经很好地支持SNI扩展，OpenSSL 0.9.8也已经内置这一功能。

上述过程中，当客户端使用“IP直连”时，请求URL中的host会被替换成解析出来的IP，导致服务器获取到的域名为解析后的IP，无法找到匹配的证书，只能返回默认的证书或者不返回，所以会出现SSL/TLS握手不成功的错误。

比如当你需要通过 HTTPS 访问 CDN 资源时，CDN 的站点往往服务了很多的域名，所以需要通过SNI指定具体的域名证书进行通信。

2. HTTPS场景（非SNI）解决方案

针对“domain不匹配”问题，可以采用如下方案解决：hook 证书校验过程中第2步，将IP直接替换成原来的域名，再执行证书验证。该方案与使用“自定义证书”进行 HTTPS 请求的校验方案一样。

【注意】基于该方案发起网络请求，若报出SSL校验错误，比如 iOS 系统报错kCFStreamErrorDomainSSL, -9813; The certificate for this server is invalid，Android系统报错System.err: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.，请检查应用场景是否为SNI（单IP多HTTPS域名）。

下面分别列出 iOS 平台的示例代码。

iOS示例

此示例针对NSURLSession/NSURLConnection接口。

- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust                  forDomain:(NSString *)domain{    /*     * 创建证书校验策略     */    NSMutableArray *policies = [NSMutableArray array];    if (domain) {        [policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];    } else {        [policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];    }        /*     * 绑定校验策略到服务端的证书上     */    SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);            /*     * 评估当前serverTrust是否可信任，     * 官方建议在result = kSecTrustResultUnspecified 或 kSecTrustResultProceed     * 的情况下serverTrust可以被验证通过，https://developer.apple.com/library/ios/technotes/tn2232/_index.html     * 关于SecTrustResultType的详细信息请参考SecTrust.h     */    SecTrustResultType result;    SecTrustEvaluate(serverTrust, &result);        return (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed);}/* * NSURLConnection */- (void)connection:(NSURLConnection *)connectionwillSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge{    if (!challenge) {        return;    }        /*     * URL里面的host在使用“IP直连”的情况下被设置成了IP，此处从HTTP Header中获取真实域名     */    NSString* host = [[self.request allHTTPHeaderFields] objectForKey:@"host"];    if (!host) {        host = self.request.URL.host;    }        /*     * 判断challenge的身份验证方法是否是NSURLAuthenticationMethodServerTrust（HTTPS模式下会进行该身份验证流程），     * 在没有配置身份验证方法的情况下进行默认的网络请求流程。     */    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust])    {        if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:host]) {            /*             * 验证完以后，需要构造一个NSURLCredential发送给发起方             */            NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];            [[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];        } else {            /*             * 验证失败，进入默认处理流程             */            [[challenge sender] continueWithoutCredentialForAuthenticationChallenge:challenge];        }    } else {        /*         * 对于其他验证方法直接进行处理流程         */        [[challenge sender] continueWithoutCredentialForAuthenticationChallenge:challenge];    }}/* * NSURLSession */- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)taskdidReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler{    if (!challenge) {        return;    }        NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;    NSURLCredential *credential = nil;        /*     * 获取原始域名信息。     */    NSString* host = [[self.request allHTTPHeaderFields] objectForKey:@"host"];    if (!host) {        host = self.request.URL.host;    }        if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {        if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:host]) {            disposition = NSURLSessionAuthChallengeUseCredential;            credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];        } else {            disposition = NSURLSessionAuthChallengePerformDefaultHandling;        }    } else {        disposition = NSURLSessionAuthChallengePerformDefaultHandling;    }    // 对于其他的challenges直接使用默认的验证方案    completionHandler(disposition,credential);}

需要修改HOST的场景总结

那么什么时候需要修改Host？

答案是所有情况都需要设置 HOST：做网络请求时，采用 IP 直连的方案会遇到 HOST 字段被改为 IP 的问题，所以都需要手动地配置 HOST 字段。

虽然 IP 直接连的方案，导致的结果是 HOST 字段被改为了IP，所以需要手动修改HOST。但是服务端唯一的根据是SNI字段。下面就介绍下针对 SNI 场景的方案：

3. HTTPS（SNI）场景方案

3.1 iOS SNI场景

SNI（单IP多HTTPS证书）场景下，iOS上层网络库NSURLConnection/NSURLSession没有提供接口进行SNI字段的配置，因此需要Socket层级的底层网络库例如CFNetwork，来实现IP直连网络请求适配方案。而基于CFNetwork的解决方案需要开发者考虑数据的收发、重定向、解码、缓存等问题（CFNetwork是非常底层的网络实现），希望开发者合理评估该场景的使用风险。

具体的实现方案可以参考： 《防 DNS 污染方案调研----- SNI 场景》