1、SSL證書(shū)，區(qū)分服務(wù)端證書(shū)和客戶(hù)端證書(shū)嗎？

SSL（安全套接層）證書(shū)可以區(qū)分為服務(wù)端證書(shū)和客戶(hù)端證書(shū)。

服務(wù)端證書(shū)：服務(wù)端證書(shū)是由服務(wù)器端提供的，用于驗(yàn)證服務(wù)器的身份。當(dāng)客戶(hù)端（如瀏覽器）連接到服務(wù)器時(shí)，服務(wù)器會(huì)將其證書(shū)發(fā)送給客戶(hù)端?？蛻?hù)端會(huì)驗(yàn)證這個(gè)證書(shū)是否有效，以確保其連接到的是合法的服務(wù)器。服務(wù)端證書(shū)通常包含服務(wù)器的域名、組織信息、公鑰等，并由受信任的證書(shū)頒發(fā)機(jī)構(gòu)（CA）簽名。

客戶(hù)端證書(shū)：客戶(hù)端證書(shū)是由客戶(hù)端（如瀏覽器）提供的，用于驗(yàn)證客戶(hù)端的身份。在某些情況下，服務(wù)器需要驗(yàn)證連接到它的客戶(hù)端的身份。例如，在某些安全性要求很高的應(yīng)用中，服務(wù)器可能要求客戶(hù)端提供證書(shū)來(lái)驗(yàn)證其身份?？蛻?hù)端證書(shū)也由受信任的CA簽名，用于驗(yàn)證客戶(hù)端的身份。

2、HTTPS請(qǐng)求的內(nèi)容默認(rèn)是密文還是明文

HTTPS（HyperText Transfer Protocol Secure）是在HTTP上加入了SSL/TLS協(xié)議的加密通信協(xié)議，因此HTTPS請(qǐng)求的內(nèi)容默認(rèn)是密文，而不是明文。

當(dāng)客戶(hù)端（如瀏覽器）發(fā)起HTTPS請(qǐng)求時(shí)，通信過(guò)程如下：

客戶(hù)端向服務(wù)器發(fā)送一個(gè)連接請(qǐng)求。
服務(wù)器將其公鑰以及與之相關(guān)的證書(shū)發(fā)送給客戶(hù)端。
客戶(hù)端驗(yàn)證服務(wù)器證書(shū)的有效性，并使用服務(wù)器的公鑰加密一個(gè)隨機(jī)的對(duì)稱(chēng)密鑰，然后將其發(fā)送給服務(wù)器。
服務(wù)器使用其私鑰解密客戶(hù)端發(fā)送的對(duì)稱(chēng)密鑰。
客戶(hù)端和服務(wù)器使用該對(duì)稱(chēng)密鑰進(jìn)行加密和解密通信過(guò)程中的數(shù)據(jù)。
因此，通過(guò)HTTPS發(fā)送的數(shù)據(jù)在傳輸過(guò)程中是加密的，使得第三方無(wú)法輕易竊取或篡改數(shù)據(jù)。

3、iOS HTTPS的請(qǐng)求，一定要在app中放置cer證書(shū)嗎？

在iOS應(yīng)用程序中進(jìn)行HTTPS請(qǐng)求時(shí)，并不一定需要將證書(shū)文件（cer文件）直接放置在應(yīng)用程序中。iOS的安全框架會(huì)自動(dòng)管理證書(shū)的驗(yàn)證和信任鏈，通常情況下不需要手動(dòng)添加證書(shū)文件。

iOS應(yīng)用程序使用的是基于系統(tǒng)信任鏈的證書(shū)驗(yàn)證機(jī)制。當(dāng)應(yīng)用程序發(fā)起HTTPS請(qǐng)求時(shí)，系統(tǒng)會(huì)自動(dòng)驗(yàn)證服務(wù)器提供的證書(shū)是否有效，并檢查其是否由受信任的證書(shū)頒發(fā)機(jī)構(gòu)（CA）簽發(fā)，以及證書(shū)是否過(guò)期等。只有當(dāng)服務(wù)器提供的證書(shū)通過(guò)了這些驗(yàn)證，iOS應(yīng)用程序才會(huì)信任該服務(wù)器，并繼續(xù)進(jìn)行HTTPS通信。

但是，在某些情況下，可能需要手動(dòng)管理證書(shū)，例如：

1. 自簽名證書(shū)：如果服務(wù)器使用自簽名證書(shū)而不是由受信任的CA簽發(fā)的證書(shū)，那么iOS應(yīng)用程序?qū)o(wú)法驗(yàn)證服務(wù)器的證書(shū)。在這種情況下，你可能需要在應(yīng)用程序中包含服務(wù)器的證書(shū)，并在代碼中進(jìn)行相應(yīng)的證書(shū)驗(yàn)證。

2. 特定安全需求：如果你的應(yīng)用程序有特定的安全需求，例如要求與特定的服務(wù)器建立雙向SSL/TLS連接，或者要求驗(yàn)證服務(wù)器證書(shū)的其他屬性，那么可能需要手動(dòng)管理證書(shū)。

總的來(lái)說(shuō)，在大多數(shù)情況下，iOS應(yīng)用程序不需要手動(dòng)管理證書(shū)文件，系統(tǒng)會(huì)自動(dòng)處理證書(shū)驗(yàn)證過(guò)程。但在一些特定情況下，手動(dòng)管理證書(shū)可能是必要的。

4、做雙向認(rèn)證需要在app中放置cer證書(shū)嗎？

雙向認(rèn)證（也稱(chēng)為客戶(hù)端身份驗(yàn)證或雙向SSL/TLS認(rèn)證）通常需要在應(yīng)用程序中包含客戶(hù)端證書(shū)。這些客戶(hù)端證書(shū)用于向服務(wù)器驗(yàn)證客戶(hù)端的身份。

在iOS應(yīng)用程序中實(shí)現(xiàn)雙向認(rèn)證時(shí)，你需要：

生成客戶(hù)端證書(shū)：你需要生成一個(gè)客戶(hù)端證書(shū)，并將其包含在應(yīng)用程序的安裝包中。這個(gè)證書(shū)通常是由受信任的證書(shū)頒發(fā)機(jī)構(gòu)（CA）簽發(fā)的，或者是自簽名的證書(shū)。

在應(yīng)用程序中使用證書(shū)：你需要在應(yīng)用程序中使用代碼來(lái)指定要使用的客戶(hù)端證書(shū)。這通常涉及到在TLS連接建立時(shí)將客戶(hù)端證書(shū)提供給服務(wù)器。

服務(wù)器端配置：服務(wù)器端需要配置以接受來(lái)自客戶(hù)端的證書(shū)，并驗(yàn)證其有效性。服務(wù)器端還需要配置以信任這些客戶(hù)端證書(shū)，并允許與其匹配的客戶(hù)端進(jìn)行通信。

在iOS應(yīng)用程序中，通常不需要將客戶(hù)端證書(shū)直接放置在應(yīng)用程序的安裝包中。相反，你可以在應(yīng)用程序中使用代碼來(lái)指定證書(shū)的位置和使用方式。這樣做的好處是可以更靈活地管理證書(shū)，并且可以在不重新發(fā)布應(yīng)用程序的情況下更換證書(shū)。

總的來(lái)說(shuō)，實(shí)現(xiàn)雙向認(rèn)證通常需要在應(yīng)用程序中包含客戶(hù)端證書(shū)，并在代碼中使用該證書(shū)來(lái)進(jìn)行身份驗(yàn)證。

5、證書(shū)固定（Certificate Pinning） 與 信任系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)（CA） 有什么區(qū)別？

證書(shū)固定（Certificate Pinning）和信任系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)（CA）是兩種不同的安全機(jī)制，它們都用于確保應(yīng)用程序與服務(wù)器之間的通信安全，但有著不同的工作原理和使用場(chǎng)景。

1、證書(shū)固定（Certificate Pinning）：

• 證書(shū)固定是一種安全機(jī)制，用于防止中間人攻擊（Man-in-the-Middle, MITM）和其他網(wǎng)絡(luò)攻擊。
• 在證書(shū)固定中，應(yīng)用程序會(huì)預(yù)先存儲(chǔ)服務(wù)器的公鑰或證書(shū)信息，并在與服務(wù)器建立連接時(shí)驗(yàn)證服務(wù)器提供的證書(shū)是否與預(yù)期的證書(shū)匹配。
• 證書(shū)固定允許應(yīng)用程序明確地指定要信任的證書(shū)，而不是依賴(lài)于系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)（CA）列表。這樣做可以提高安全性，因?yàn)榧词鼓硞€(gè)受信任的CA被攻擊或?yàn)E用，應(yīng)用程序仍然可以信任特定的證書(shū)。

2、信任系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)（CA）：

• 在TLS/SSL通信中，服務(wù)器通常會(huì)提供由受信任的CA簽發(fā)的證書(shū)，客戶(hù)端會(huì)使用系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)列表來(lái)驗(yàn)證服務(wù)器的證書(shū)。
• 這種機(jī)制依賴(lài)于操作系統(tǒng)或應(yīng)用程序內(nèi)置的一組根證書(shū)頒發(fā)機(jī)構(gòu)，這些機(jī)構(gòu)被認(rèn)為是受信任的，客戶(hù)端會(huì)信任由這些機(jī)構(gòu)簽發(fā)的證書(shū)。
• 信任系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)可以確保與受信任機(jī)構(gòu)簽發(fā)的證書(shū)進(jìn)行通信時(shí)的安全性，但如果某個(gè)受信任的CA被攻擊或?yàn)E用，那么信任該CA簽發(fā)的所有證書(shū)的安全性可能會(huì)受到影響。

總的來(lái)說(shuō)，證書(shū)固定和信任系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)是兩種不同的安全機(jī)制，證書(shū)固定允許應(yīng)用程序明確地指定要信任的證書(shū)，而不依賴(lài)于系統(tǒng)內(nèi)置的根證書(shū)列表，從而提高了安全性和控制性。

6、Android HTTPS的請(qǐng)求，一定要在app中放置cer證書(shū)嗎？

不一定。在 Android 中進(jìn)行 HTTPS 請(qǐng)求時(shí)，通常需要驗(yàn)證服務(wù)器的證書(shū)以確保連接的安全性。這種驗(yàn)證通常包括將服務(wù)器證書(shū)與信任的根證書(shū)進(jìn)行比較，以確保證書(shū)的有效性和可信任性。

你可以選擇在應(yīng)用程序中包含服務(wù)器的證書(shū)（通常是 .cer 或 .pem 格式），并在代碼中指定該證書(shū)用于驗(yàn)證服務(wù)器的身份。這種方法稱(chēng)為針對(duì)特定證書(shū)的證書(shū)固定（Certificate Pinning）。

另一種方法是信任系統(tǒng)內(nèi)置的根證書(shū)頒發(fā)機(jī)構(gòu)（CA），這樣應(yīng)用程序就可以使用設(shè)備上的信任證書(shū)列表來(lái)驗(yàn)證服務(wù)器證書(shū)的有效性。這種方法稱(chēng)為系統(tǒng)證書(shū)驗(yàn)證。

一般來(lái)說(shuō)，證書(shū)固定提供了更高級(jí)別的安全性，因?yàn)樗鼈兿拗屏丝梢越邮艿淖C書(shū)，即使設(shè)備上的根證書(shū)列表被攻擊者篡改也不會(huì)受到影響。但是，證書(shū)固定也需要更多的維護(hù)，因?yàn)槟阈枰聭?yīng)用程序以包含最新的證書(shū)。

對(duì)于大多數(shù)應(yīng)用程序來(lái)說(shuō)，使用系統(tǒng)證書(shū)驗(yàn)證通常是足夠的，并且更加方便，因?yàn)樗鼈儾恍枰趹?yīng)用程序中包含證書(shū)。