Immich iOS应用视频播放时的客户端证书问题分析

背景介绍

Immich是一款自托管的照片和视频备份解决方案，允许用户在自己的服务器上存储媒体文件。在安全配置较高的环境中，管理员可能会选择使用客户端证书来增强身份验证机制。然而，在Immich iOS应用中发现了一个特定场景下的客户端证书验证问题。

问题现象

在Immich iOS应用1.131.3版本中，当服务器配置了强制客户端证书验证时，应用在播放视频内容时会出现异常。具体表现为：

1. 照片浏览和其他API请求都能正常工作，客户端证书被正确发送
2. 视频播放请求却未能携带客户端证书
3. 浏览器访问时所有请求(包括视频)都能正确发送客户端证书

技术分析

从服务器日志中可以明显看出差异：

• 成功的请求日志会显示客户端证书的CN(Common Name)字段
• 失败的视频请求日志中缺少CN字段标识

这个问题源于iOS应用中视频播放组件的特殊实现方式。不同于常规的API请求，视频播放可能使用了系统原生的媒体播放器组件，而该组件没有继承应用层配置的证书验证设置。

临时解决方案

对于需要立即解决问题的用户，可以通过修改Nginx配置来实现部分豁免：

1. 将ssl_verify_client设置为optional而非on
2. 为视频资源路径设置特殊规则，允许无证书访问
3. 对其他路径保持严格的证书验证

示例配置如下：

ssl_verify_client optional;

location /api/assets/ {
    proxy_pass http://immich_server:2283/api/assets/;
}

location / {
    if ($ssl_client_s_dn !~ "CN=.*") {
        return 403;
    }
    proxy_pass http://immich_server:2283/;
}

location = /api/assets {
    if ($ssl_client_s_dn !~ "CN=.*") {
        return 403;
    }
    proxy_pass http://immich_server:2283/api/assets;
}

安全考量

这种临时方案虽然解决了功能可用性问题，但在安全性方面做出了妥协。管理员需要评估：

1. 视频资源是否包含敏感信息
2. 是否可以通过其他方式(如IP限制)来补偿安全性的降低
3. 临时方案是否只在内部网络环境中使用

未来展望

Immich开发团队已经确认此问题并纳入修复计划。预期未来的版本更新将确保iOS应用中所有类型的请求都能正确携带客户端证书，包括视频播放功能。建议用户关注官方更新，在修复发布后及时升级应用版本。

对于安全要求极高的环境，建议暂时避免在iOS设备上使用视频播放功能，或者考虑使用专用网络等其他安全层来保护整个通信通道。