Entschärfung: X509CertificateClaimSet.FindClaims-MethodeMitigation: X509CertificateClaimSet.FindClaims Method

Ab Apps, die auf .NET Framework 4.6.1 ausgerichtet sind, wird von der Methode X509CertificateClaimSet.FindClaims versucht, das Argument claimType mit allen DNS-Einträgen im zugehörigen SAN-Feld zu vergleichen.Starting with apps that target the .NET Framework 4.6.1, the X509CertificateClaimSet.FindClaims method will attempt to match the claimType argument with all the DNS entries in its SAN field.

AuswirkungenImpact

Diese Änderung betrifft nur Apps, die auf Versionen von .NET Framework ab .NET Framework 4.6.1 ausgerichtet sind.This change only affects apps that target versions of the .NET Framework starting with the .NET Framework 4.6.1.

Bei Apps, die auf frühere Versionen von .NET Framework ausgerichtet sind, versucht die X509CertificateClaimSet.FindClaims-Methode, das claimType-Argument nur mit dem letzten DNS-Eintrag abzustimmen.For apps that target previous versions of the .NET Framework, the X509CertificateClaimSet.FindClaims method attempts to match the claimType argument only with the last DNS entry.

MinderungMitigation

Ist diese Änderung nicht erwünscht, kann sie für Apps, die für .NET Framework-Versionen ab .NET Framework 4.6.1 vorgesehen sind, deaktiviert werden. Dazu muss dem Abschnitt <runtime> der App-Konfigurationsdatei die folgende Konfigurationseinstellung hinzugefügt werden:If this change is undesirable, apps that target versions of the .NET Framework starting with the .NET Framework 4.6.1 can opt out of it by adding the following configuration setting to the <runtime> section of the app’s configuration file:

<runtime>  
   <AppContextSwitchOverrides value="Switch.System.IdentityModel.DisableMultipleDNSEntriesInSANCertificate=true" />   
</runtime>  

Für Apps, die für frühere Versionen von .NET Framework vorgesehen sind, aber unter .NET Framework 4.6.1 oder unter höheren Versionen ausgeführt werden, kann dieses Verhalten aktiviert werden, indem dem Abschnitt <runtime> der App-Konfigurationsdatei die folgende Konfigurationseinstellung hinzugefügt wird:In addition, apps that target previous versions of the .NET Framework but are running under the .NET Framework 4.6.1 and later versions can opt in to this behavior by adding the following configuration setting to the <runtime> section of the app’s configuration file:

<runtime>  
    <AppContextSwitchOverrides value="Switch.System.IdentityModel.DisableMultipleDNSEntriesInSANCertificate=false" />   
</runtime>  

Siehe auchSee also