Nie można utworzyć bezpiecznego kanału SSL/TLS pomimo ustawienia ServerCertificateValidationCallback

Question

Próbuję ustanowić połączenie SSL/TLS z serwerem testowym z samopodpisanym certyfikatem. Komunikacja przez niezabezpieczony kanał działała bez problemów.

Oto mój przykładowy kod, który napisałem na podstawie tego rozwiązania: Allowing Untrusted SSL Certificates with HttpClient C# Ignore certificate errors? .NET client connecting to ssl Web API

ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, sslPolicyErrors) => true; 

var c = new HttpClient(); 
var r = c.GetAsync("https://10.3.0.1:8443/rest/v1").Result; 
if (r.IsSuccessStatusCode) 
{ 
    Log.AddMessage(r.Content.Get<string>()); 
} 
else 
{ 
    Log.AddMessage(string.Format("{0} ({1})", (int)r.StatusCode, r.ReasonPhrase)); 
} 

próbował również to:

var handler = new WebRequestHandler(); 
handler.ServerCertificateValidationCallback = delegate { return true; }; 
var c = new HttpClient(handler); 
... 

i ten

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; }; 

ale za każdym razem mam wyjątek:

InnerException: System.Net.Http.HttpRequestException 
    _HResult=-2146233088 
    _message=An error occurred while sending the request. 
    HResult=-2146233088 
    IsTransient=false 
    Message=An error occurred while sending the request. 
    InnerException: System.Net.WebException 
     _HResult=-2146233079 
     _message=The request was aborted: Could not create SSL/TLS secure channel. 
     HResult=-2146233079 
     IsTransient=false 
     Message=The request was aborted: Could not create SSL/TLS secure channel. 
     Source=System 
     StackTrace: 
      at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) 
      at System.Net.Http.HttpClientHandler.GetResponseCallback(IAsyncResult ar) 
     InnerException: 

Co robię źle? Dlaczego nie mogę połączyć się z tym serwerem (który ma nieprawidłowy certyfikat z podpisem własnym)

Answer 1

Robisz to dobrze z ServerCertificateValidationCallback. To nie jest problem, z którym masz do czynienia. Problem, z którym masz do czynienia, to najprawdopodobniej wersja protokołu SSL/TLS.

Na przykład, jeśli twój serwer oferuje tylko SSLv3 i TLSv10, a Twój klient potrzebuje protokołu TLSv12, otrzymasz ten komunikat o błędzie. Musisz upewnić się, że zarówno klient, jak i serwer mają obsługiwaną wspólną wersję protokołu.

Kiedy potrzebny jest klient, który jest w stanie połączyć się jak wielu serwerach, jak to możliwe (zamiast być tak bezpieczne, jak to możliwe) Używam tego (wraz z ustawieniem zwrotnego walidacji):

ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12; 

Answer 2

Wystarczy jako uzupełnienie dla każdego, kto nadal działa w tym - ja dodaje opcje ServicePointManager.SecurityProfile jak zauważono w roztworze:

ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12; 

a mimo to w dalszym ciągu pojawia się taki sam „żądanie zostało przerwane: nie można utworzyć SSL/Bezpieczny kanał TLS "błąd. Próbowałem połączyć się z niektórymi starszymi serwerami głosowymi z interfejsami HTTPS SOAP API (tj. Pocztą głosową, systemami telefonicznymi IP itd. Zainstalowanymi wiele lat temu). Obsługują one tylko połączenia SSL3, które zostały ostatnio zaktualizowane wiele lat temu.

Można by pomyśleć, w tym SSl3 na liście SecurityProtocols zrobiłoby to tutaj, ale tak się nie stało. Jedynym sposobem mogę wymusić połączenie było to tylko protokół SSL3 i żadnych innych:

ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3; 

Następnie połączenie przechodzi - wygląda na bug do mnie, ale to nie zacząć rzucać błędów do niedawna na narzędzia Dostarczam te serwery, które są tam od lat - uważam, że Microsoft zaczął wprowadzać zmiany systemowe, które zaktualizowały to zachowanie, aby wymusić połączenia TLS, chyba że nie ma innej alternatywy.

W każdym razie - jeśli nadal używasz tego przeciwko starym witrynom/serwerom, warto spróbować.

Answer 3

Zostaliśmy rozwiązywania tego samego problemu właśnie dzisiaj, i wszystko, co trzeba zrobić, to zwiększyć wersji runtime .NET

4.5.2 nie działa dla nas z powyższego problemu, natomiast 4.6.1 było OK

Jeśli trzeba zachować wersję .NET, a następnie ustawić

ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12; 

Answer 4

Jeśli używasz nową nazwę domeny, a masz zrobić wszystko powyższe i cię nadal występuje ten sam błąd, sprawdź, czy wyczyścisz pamięć podręczną DNS na swoim komputerze. Clear your DNS, aby uzyskać więcej informacji.

Windows® 8

Aby wyczyścić pamięć podręczną DNS, jeśli używasz Windows 8, wykonaj następujące kroki:

Na klawiaturze naciśnij klawisz Win + X, aby otworzyć menu WinX.

Kliknij prawym przyciskiem myszy Wiersz poleceń i wybierz opcję Uruchom jako administrator.

Uruchom następujące polecenie:

ipconfig/flushdns

Jeśli polecenie powiedzie, system zwraca następujący komunikat:

konfiguracji IP systemu Windows pomyślnie spłukuje rozpoznawania nazw DNS Cache.

Windows® 7

Aby wyczyścić pamięć podręczną DNS, jeśli używasz systemu Windows 7, wykonaj następujące czynności:

Kliknij przycisk Start.

Wpisz cmd w polu tekstowym Wyszukaj w menu Start.

Kliknij prawym przyciskiem myszy Wiersz poleceń i wybierz opcję Uruchom jako administrator.

Uruchom następujące polecenie:

ipconfig/flushdns

Jeśli polecenie powiedzie, system zwraca następujący komunikat: konfiguracji IP systemu Windows pomyślnie spłukuje rozpoznawania nazw DNS Cache.