出于教育目的,我目前正在分解一个应用程序,看看我是否可以公开它的 API。到目前为止,我做得很好。我弄清楚了 API 的位置,并且通过使用诸如 Charles 之类的 SSL 代理,我也能够解密客户端和服务器之间的连接。
但是,鉴于我是如何做到的,我想知道 iOS 客户端如何验证服务器证书。相关应用程序的服务器证书是由 Rapid SSL 授权签署的通配符证书。使用 SSL 代理时,我将其交换为我导入 iPhone 的 Charles 证书(因此它使其受信任)。
我的问题:应用程序是否可以通过某种方式验证用于 HTTPS 连接的证书来自 *.mydomain.com 并且由权威 X 签名有效?如果是这样,如果请求不匹配,则可以通过使请求失败来大大提高应用程序的安全性。