Устранение рисков. Протоколы TLS

  • Статья

Начиная с версии платформа .NET Framework 4.6, System.Net.ServicePointManager и System.Net.Security.SslStream классы могут использовать один из следующих трех протоколов: Tls1.0, Tls1.1 или Tls 1.2. Протокол SSL 3.0 и шифрование RC4 не поддерживаются.

Воздействие

Это изменение влияет:

  • на все приложения, использующие протокол SSL для связи с сервером HTTPS или сервером сокетов с помощью любого из следующих типов: HttpClient, HttpWebRequest, FtpWebRequest, SmtpClient и SslStream;

  • на все приложения на стороне сервера, которые нельзя обновить для поддержки Tls1.0, Tls1.1 или Tls 1.2.

Исправление

Рекомендуется обновить приложения на стороне сервера для использования Tls1.0, Tls1.1 или Tls 1.2. Если это невозможно, или если клиентские приложения не работают, можно использовать класс AppContext, чтобы отказаться от этой функции одним из двух способов.

  • Программно с помощью фрагмента кода следующего вида:

    const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching";
const string DontEnableSchUseStrongCryptoName = @"Switch.System.Net.DontEnableSchUseStrongCrypto";
AppContext.SetSwitch(DisableCachingName, true);
AppContext.SetSwitch(DontEnableSchUseStrongCryptoName, true);

    Const DisableCachingName As String = "TestSwitch.LocalAppContext.DisableCaching"
Const DontEnableSchUseStrongCryptoName As String = "Switch.System.Net.DontEnableSchUseStrongCrypto"
AppContext.SetSwitch(DisableCachingName, True)
AppContext.SetSwitch(DontEnableSchUseStrongCryptoName, True)

    Поскольку объект ServicePointManager инициализируется только один раз, определение этих параметров совместимости должно быть первым действием приложения.

  • Добавьте следующую строку в <раздел среды выполнения> файла app.config:

    <AppContextSwitchOverrides value="Switch.System.Net.DontEnableSchUseStrongCrypto=true"/>

Следует, тем не менее, заметить, что отказ от поведения по умолчанию не рекомендуется, поскольку приводит к снижению безопасности приложения.

См. также