我给苹果打了个电话，真相只有一个

我给苹果打了个电话，真相只有一个

“苹果爸爸一开口，成人就惨了”，有一定道理。

在电梯上，作家之家的嘉宾频道听到两个人在聊天:

答:"新闻报道，元旦过后，不使用HTTPS就无法提交到AppStore。你得赶在元旦前！”

B:"你应该早点说。年底的事情那么多，离元旦就剩几天了。”

答:“期限是第一生产力，我认为它是你改进工作的动力。”

B:"嗯，好像挺有道理的...谢谢兄弟。”

Homeguest频道整理搜索的时候发现确实有很多相关的信息。

就在性编辑()家庭主妇频道准备写一篇关于苹果ATS安全功能的科普文章时，发现了一件诡异的事情:

外面“谣言四起”，AppleStore官网却没有给开发者发邮件通知。全方位禁止使用HTTP是件大事。按照苹果的设计做事风格，还是宣传的可能性不大。

宅客频道检测:这一定很诡异！

苹果强制HTTPS，究竟是怎么回事？

根据边肖嘉宾频道的调查，事情还得从几个月前说起...

这些信息最早来自今天6月的WWDC2016，苹果开发者大会。苹果顶级安全系统架构师伊万在大会发言中提到(仅提及):

今天我很自豪地说，到2016年底，ATS将成为所有应用软件上传到AppStore的规范，可以大大提高客户与应用软件之间网络通信的安全系数。

然后外媒解释为:苹果将在所有AppStore上开放iOS版HTTP，截止日期为17年1月1日。(详见当时边肖中文翻译的外媒报道:“苹果要求年底前所有iOSapps默认使用HTTPS连接”)

ATS是啥？和HTTPS有什么关系？

下面我们就来简单科学的调查一下苹果ATS的安全功能和HTTPS的关系。懂技术的朋友可以绕开这一段。

HTTPS就是HTTPSSL，即在原来没有数据加密的HTTP连接上，打开一层SSL数据加密，让原本几乎“赤裸裸”的数据信息得以保密传输，从而提高数据信息在整个传输过程中的安全系数。

ATS是苹果在iOS9中发布的第一个安全功能，全称是AppTransportSecurity。ATS开启后，会强制使用HTTPS网络连接服务项，HTTP连接会被过度考虑。

ATS默认开启。在特定情况下，开发人员通常会为了方便而将其关闭，然后重新应用不安全的HTTP连接。

这和宅男宅女访问成人网站时，电脑杀毒软件跳出来，90%的人会毫不犹豫地关掉电脑杀毒软件再欣赏一遍的道理差不多。

然而，毫无疑问，HTTPS对于移动智能终端来说是一项非常重要的安全措施。2015年将有报道称，90%的移动智能终端未通过HTTPS数据加密连接，存在极大的安全隐患。ATS和HTTPS对于移动智能终端的功效，可以参考之前边肖的报告:“？iOS提高安全“门槛”:HTTPS，是时候提高了吗？》

抓住营销机会，快速传播信息

由于HTTPS数据加密连接的应用本身就可以提高客户的安全性，当消息被解释为“元旦是最后的截止日期”时，大部分杂音都被苹果的这一对策所关注，并没有多少人质疑消息本身的真实性和有效性。

于是，网上就开始出现了一大堆以营销推广为契机的推广软文。文章的内容不仅真实有效，信息独特，甚至还能在其上发挥自身的作用。所以出现了“元旦后HTTPS的申请无法申请”、“新申请无法提交”等关键词。文章内容大部分招数如下:[/s2/

苹果要强制使用HTTPS，我们家资格证符合审批标准！

苹果要逼HTTPS了，我们的资格证性价比高，功能强大！

苹果迫使HTTPS倒计时！一步一步来，不要错过！

即使文章内容充满了营销推广的气息，还是有很多网友信以为真。边肖宅客频道了解了几个开发商的朋友，对方坚信元旦后四面八方强制HTTPS的信息:

[来自微信聊天截图]

虽然这位iOS技术工程师也很不解，为什么苹果这次不宣传、不公布，但出于“信其有不如不信其无”的考虑，他还是打算在元旦前把HTTPS连接改成HTTPS。

实情只有一个，因此我给苹果打个电話

按照常理，如果苹果确实在元旦后强制HTTPS四面八方应用，那么好来也应该告诉开发者如果不行HTTPS会造成什么不良影响，但客观事实并非如此。

为了更好地探讨客观事实的真相Homeguest频道赶到开发者社区论坛，发现很多人刚刚开始探讨这个问题，而苹果官网工作人员却想出了以下说法:

那么变化是什么呢？大家会收紧现行政策的审批，即对于开发者添加的ATS(即httpsocket)例外，要求出示“有效表达式”。往往需要推广这样一种“不便”，才能更好地防止开发者无脑关闭ATS，促使ATS背离初衷，名存实亡。开发人员不会不假思索地全局关闭ATS，他们必须在添加异常时显示有效的语句。

中文:已经改变的是，对于大多数ATS例外情况，应用程序审查将要求“合理的证明”。我们的目标是找出那些。ATS首次发布时，谷歌只是在全球范围内关闭了它，然后继续前进。这是不允许的。

简单来说:开发者将无法再无脑关闭ATS，由你来提几个理由。

众所周知，当被问及什么才算“有效表达”时，对方关注的是自己未能承担App审批，但据他所知，现阶段苹果公司并未就此问题出台任何具体指导意见。

[摘自苹果开发者官方论坛]

于是，边肖家政频道联系苹果开发者官网，推出咨询热线:

问:我还在网上看到，17年初苹果会强制其开放ATS，应用HTTPS连接。请问是不是确切的代码？

回答:我们在WWDC苹果开发者交流大会上确实提到了这项安全措施，但是现阶段开发者管理中心还没有出台所有相关的实际要求。

问:言下之意，如果企业的app在元旦没有全部上HTTPS，暂时不会有什么危害？

答:是的，相关规范和建议都是基于苹果官方发布的公告或具体指导意见。如果目前有什么政策调整，大家会第一时间通知所有开发商...

挂掉电话后，嘉宾频道收到了一封来自苹果官网的邮件，被告知苹果今天发布了最新公告:

iOS9和OSXv10.11的ATS功能在应用安全方面规定了应用软件的HTTPS连接，提高了互联网客户的安全和隐私保护。在WWDC2016中，人人宣布提交到AppStore的应用程序必须在今年年底应用ATS。为了给你充足的时间提前准备，这个截止日期已经被提高了。当新的截止日期确定后，你将宣布升级。

[摘自苹果开发者官网]

此时真相大白，

如果元旦过后你没有去过HTTPS，会发生什么？答:什么都不会生产。

新闻媒体是否过度解读？答:这不算什么，因为苹果自己也承认是他们说的。

不知道赶在元旦前上的程人看到这条消息后会有什么感受？

再贴一下微信聊天记录:[/s2/]

文/谢瑶(微信ID:dexter0，一个好奇的人)