iOS/Security.Framework的CRL和OCSP行为是什么？

我有一个关于苹果公司这个问题的答案，我将完整的回答发布在这里：

iOS上SSL/TLS证书吊销机制的详细信息

总的来说，在iOS上实现OCSP时需要注意以下几点：

• 目前无法配置OCSP策略
• 仅适用于EV证书
• 高级内容（如NSURLConnection或UIWebView）使用TLS安全策略，其中包含OCSP
• SecTrustEvaluate是阻塞式的网络操作
• 它会尝试最佳 - 如果无法联系OCSP服务器，则信任评估不会失败

我刚在iOS中使用GCDAsyncSocket完成了这个操作。

对于给定的SecTrustRef信任; 做这个

SecPolicyRef policy = SecPolicyCreateRevocation(kSecRevocationOCSPMethod)
SecTrustSetPolicies(trust, policy);
SecTrustResultType trustResultType = kSecTrustResultInvalid;
OSStatus status = SecTrustEvaluate(trust, &trustResultType);
if (status == errSecSuccess && trustResultType == kSecTrustResultProceed)
{
   //good!
}
else
{
   //not good
}

//编辑以检查trustResultType

我能够在iOS 10上为SecTrustRef对象启用CRL检查：

SecTrustRef trust = ...; // from TLS challenge
CFArrayRef oldPolicies;
SecTrustCopyPolicies(trust, &oldPolicies);
SecPolicyRef revocationPolicy = SecPolicyCreateRevocation(kSecRevocationCRLMethod);
NSArray *newPolicies = [(__bridge NSArray *)oldPolicies arrayByAddingObject(__bridge id)revocationPolicy];
CFRelease(oldPolicies);
SecTrustSetPolicies(trust, (__bridge CFArrayRef)newPolicies);
SecTrustSetNetworkFetchAllowed(trust, true);

// Check the trust object
SecTrustResult result = kSecTrustResultInvalid;
SecTrustEvaluate(trust, &result);
// cert revoked -> kSecTrustResultRecoverableTrustFailure

调用 SecTrustSetNetworkFetchAllowed 是关键。如果没有这个调用，SecTrustEvaluate 将返回 kSecTrustResultUnspecified。