Définir la SecurityProtocol (Ssl3 ou TLS) sur l' .net HttpWebRequest par demande

Ma demande.net 3.5 sp1) utilise la HttpWebRequest à communiquer avec différents effets, parfois, de ses plus de HTTPS où chaque serveur d'hébergement peut-être un autre protocole de sécurité exigence de dire TLS ou SSL3 ou l'autre.

Généralement les serveurs de jeu agréable et heureux de négocier et de repli sur ce SecurityProtocol pour utiliser TLS ou SSL3, mais certains ne sont pas et quand .net est mis en place comme TLS ou SSL3 (par défaut je crois), ces serveurs qui prennent en charge uniquement SSL3 cause .net pour jeter un envoyer erreur.

De ce que je peux dire .net propose les ServicePointManager objet d'une propriété SecurityProtocol qui peut être définie à TLS, SSL3 ou les deux. Donc, idéalement, lorsque vous réglez à la fois l'idée est que le client et le serveur doivent négocier de quoi l'utiliser, mais comme dit précédemment, qui ne semble pas fonctionner.

Soi-disant, vous pouvez définir la ServicePointManager.SecurityProtocol = Ssl3, mais ce que sur les systèmes d'extrémité qui veulent utiliser TLS?

Le problème que je vois avec la ServicePointManager et la SecurityProtocol est que statique et donc du domaine d'application de large.

Donc à la question..

comment pourrais-je aller sur l'aide de la HttpWebRequest avec un autre SecurityProtocol par exemple

1) de l'adresse url 1 configuré pour utiliser le protocole TLS | Ssl3 (à négocier)

2) url set de 2 à Ssl3 (Ssl3 seulement)

InformationsquelleAutor Rich | 2010-09-24
  1. 16

    Malheureusement, il n'a pas l'air comme vous pouvez le personnaliser par point de service. Je voudrais vous suggérer de déposer une demande de fonctionnalité à la MS se Connecter site web pour ce domaine.

    Comme un sale solution de contournement, vous pouvez essayer d'exécuter les sites qui nécessitent un protocole de sécurité différents dans un nouveau domaine d'application. Statique instances sont par domaine d'application, ce qui devrait vous donner l'isolement dont vous avez besoin.

    • Merci de confirmer mes craintes, espérais que ce n'était pas le cas.
    • MS demande de connexion connect.microsoft.com/VisualStudio/feedback/details/605185/... a le statut de "ne sera pas résolu"
    • Si le look maintenant, Microsoft a répondu en expliquant que cela sera corrigé dans >Net Framework 4.7.1 - "Dans la prochaine version de .NET Framework 4.7.1, nous avons ajouté de nouvelles propriétés à la HttpClientHandler classe qui est utilisée dans le Système.Net.HttpClient. C'est le préféré de l'API à utiliser pour les requêtes HTTP au lieu de HttpWebRequest. Ces nouveaux sites ont été ajoutés au match .NET, Base de la version 2.0 qui a déjà les plus récentes propriétés sur HttpClientHandler."
    InformationsquelleAutor feroze
  2. 13

    J'ai eu le même problème et a écrit de la classe proxy, qui ouvre le port sur localhost et transmet l'ensemble du trafic à l'hôte spécifié:port.

    si la connexion va comme ceci

    [votre code] --- HTTP ---> [proxy localhost:port] --- HTTPS ---> [site web]

    en fait, il peut être utilisé pour envelopper un protocole SSL/TLS pas juste HTTP 

    using System;
using System.IO;
using System.Net;
using System.Net.Security;
using System.Net.Sockets;
using System.Security.Authentication;
using System.Security.Cryptography.X509Certificates;
namespace System
{
class sslProxy : IDisposable
{
readonly string host;
readonly int port;
readonly TcpListener listener;
readonly SslProtocols sslProtocols;
bool disposed;
static readonly X509CertificateCollection sertCol = new X509CertificateCollection();
public sslProxy(string url, SslProtocols protocols)
{
var uri = new Uri(url);
host = uri.Host;
port = uri.Port;
sslProtocols = protocols;
listener = new TcpListener(IPAddress.Loopback, 0);
listener.Start();
listener.BeginAcceptTcpClient(onAcceptTcpClient, null);
Proxy = new WebProxy("localhost", (listener.LocalEndpoint as IPEndPoint).Port);
}
public WebProxy Proxy
{
get;
private set;
}
class stBuf
{
public TcpClient tcs;
public TcpClient tcd;
public Stream sts;
public Stream std;
public byte[] buf;
public stBuf dup;
}
void onAcceptTcpClient(IAsyncResult ar)
{
if (disposed) return;
var tcl = listener.EndAcceptTcpClient(ar);
TcpClient tcr = null;
try
{
listener.BeginAcceptTcpClient(onAcceptTcpClient, null);
var nsl = tcl.GetStream();
tcr = new TcpClient(host, port);
Stream nsr = tcr.GetStream();
if (sslProtocols != SslProtocols.None)
{
var sss = new SslStream(nsr, true);
sss.AuthenticateAsClient(host, sertCol, sslProtocols, false);
nsr = sss;
} //if
var sts = new stBuf() { tcs = tcl, sts = nsl, tcd = tcr, std = nsr, buf = new byte[tcl.ReceiveBufferSize] };
var std = new stBuf() { tcs = tcr, sts = nsr, tcd = tcl, std = nsl, buf = new byte[tcr.ReceiveBufferSize] };
sts.dup = std;
std.dup = sts;
nsl.BeginRead(sts.buf, 0, sts.buf.Length, onReceive, sts);
nsr.BeginRead(std.buf, 0, std.buf.Length, onReceive, std);
} //try
catch
{
tcl.Close();
if (tcr != null) tcr.Close();
} //catch
}
void close(stBuf st)
{
var dup = st.dup;
if (dup != null)
{
dup.dup = st.dup = null;
st.sts.Dispose();
st.std.Dispose();
} //if
}
void onReceive(IAsyncResult ar)
{
var st = ar.AsyncState as stBuf;
try
{
if (!(st.dup != null && st.tcs.Connected && st.sts.CanRead && !disposed)) { close(st); return; };
var n = st.sts.EndRead(ar);
if (!(n > 0 && st.tcd.Connected && st.std.CanWrite)) { close(st); return; };
st.std.Write(st.buf, 0, n);
if (!(st.tcs.Connected && st.tcd.Connected && st.sts.CanRead && st.std.CanWrite)) { close(st); return; };
st.sts.BeginRead(st.buf, 0, st.buf.Length, onReceive, st);
} //try
catch
{
close(st);
} //catch
}
public void Dispose()
{
if (!disposed)
{
disposed = true;
listener.Stop();
} //if
}
}
}

    exemple d'utilisation

    //create proxy once and keep it
//note you have to mention :443 port (https default)
//ssl protocols to use (enum can use | or + to have many)
var p = new sslProxy("http://www.google.com:443", SslProtocols.Tls);
//using our connections
for (int i=0; i<5; i++)
{
//url here goes without https just http
var rq = HttpWebRequest.CreateHttp("http://www.google.com/") as HttpWebRequest;
//specify that we are connecting via proxy
rq.Proxy = p.Proxy;
var rs = rq.GetResponse() as HttpWebResponse;
var r = new StreamReader(rs.GetResponseStream()).ReadToEnd();
rs.Dispose();
} //for
//just dispose proxy once done
p.Dispose();
    • Comment se fait-ce qui n'a pas reçu plus de votes ou n'est pas enregistré comme la réponse? Je n'ai pas essayé encore, mais @k010mb0 envisagez-vous de ce la réponse? Comment cela effectuer dans une performante application web de réglage?
    • Comme je l'ai mentionné dans la réponse c'est la façon dont le problème a été résolu dans mon cas. Je n'ai pas fait de test pour la haute performance de scénarios. Il est maintenant en production et en faisant stable. Il a une surcharge pour plus de connexion à localhost (proxy) et 2 tampons de taille ReceiveBufferSize par connexion, ce qui devrait être pris en considération pour la haute charge d'utilisation.
    InformationsquelleAutor k010mb0
  3. 6

    Après certains de nos fournisseurs cessé de soutien pour ssl3 tandis que d'autres l'utilisent exclusivement, de nombreuses questions apparaissent dans notre système, qui pourrait être résolu avec la fonctionnalité de cette question. Mais six ans après, nous n'avons pas encore intégré dans le mécanisme pour y parvenir. Notre solution de contournement consiste à définir explicitement le protocole de sécurité qui prendront en charge tous les scénarios, comme ceci:

        System.Net.ServicePointManager.SecurityProtocol = 
System.Net.SecurityProtocolType.Ssl3 
| System.Net.SecurityProtocolType.Tls12 
| SecurityProtocolType.Tls11 
| SecurityProtocolType.Tls;
    • Mais vous avez encore le remplacement d'autres développeurs ont utilisé des protocoles. Permet image, vous devez préparer le package nuget, qui ont à envoyer avec httpwebrequest de données de l'API et vous permet de choisir tls12.Vous remplacer l'application des protocoles de sécurité à l'intérieur de bibliothèque nuget. Btw, ce n'est pas la réponse à cette question. Avec ce code, vous n'avez pas défini les protocoles de sécurité, conformément à la demande
    InformationsquelleAutor j.v.
  4. 4

    Comme par cette réponse, le SecurityProtocol réglage est fait par domaine d'application, de sorte que vous pourriez, si vous ont été déterminés à faire un travail, de créer des domaines d'application pour des paramètres distincts, et marshall vos requêtes à travers.

    Pas exactement un "pur" de la solution, mais peut faire ce que vous avez besoin d'possible sans avoir recours à des tiers pour les bibliothèques.

    InformationsquelleAutor Roman Starkov
  5. 1

    Vous pouvez atteindre cet objectif par le présent code pour fermer tous les liens sous-jacents et de la vigueur d'une nouvelle poignée de main.

    HttpWebRequest request = (HttpWebRequest)WebRequest.Create(uri);
...
...
...
request.ServicePoint.CloseConnectionGroup(request.ConnectionGroupName);
    InformationsquelleAutor Nik Marshall-Blank
  6. 1

    Net 4.6 il y a HttpClient et WinHttpHandler nuget package est disponible pour windows (à partir de microsoft) pour définir SslProtocols paramètres. Avec Net core, vous pouvez utiliser HttpClientHandler classe pour le même.

    using (var hc = new HttpClient(new WinHttpHandler() //should have it as a static member
{
AutomaticDecompression = DecompressionMethods.Deflate | DecompressionMethods.GZip,
SslProtocols = SslProtocols.Tls | 
SslProtocols.Tls11 | 
SslProtocols.Tls12
}))
{
var r = hc.SendAsync(new HttpRequestMessage(HttpMethod.Get, "https://..."));
r.Wait();
Console.WriteLine(r.Result.StatusCode);
} //using
    • Ne pouvais pas l'installer sur un .net 4.5 projet avec nuget. Je n'ai remarqué la doc de l'état, il est disponible pour .NET Plate-forme Extensions 2.1.
    • HttpClient est disponible depuis .net 4.5. WinHttpHandler doit être installé par nuget
    • prendre un coup d'oeil ici dans les Dépendances: il n'y a aucune preuve de 4,5 cadre là.
    • Oui - vous avez raison. nuget pour WinHttpHandler dit que cela dépend .net de 4,6 tout HttpClient a été introduit en .net 4.5
    InformationsquelleAutor k010mb0
  7. 0

    Vous pourriez faire un HttpWebRequest utilitaire "classe" avec un statique d'utilité méthode pour la fabrication de HttpWebRequests. En statique méthode utilitaire utiliser l'instruction c# lock autour de réglage de la ServicePointManager.SecurityProtocol et la création d'un particulier HttpWebRequest. L'instruction lock empêche les autres threads du même domaine d'application pour exécuter le même code en même temps, donc le protocole TLS que vous venez de définir n'obtiendrez pas changé jusqu'à ce que l'ensemble de la serrure de bloc (= section critique) est exécutée.

    Mais conscient, pour vraiment performante des applications de (très haute performance!) cette approcah pourrait avoir un impact négatif sur les performances.

    InformationsquelleAutor Kr15
  8. 0

    Ensemble de tout cela. Dans mon application, c'est un travail pour les différents protocoles de sécurité.

    System.Net.ServicePointManager.SecurityProtocol = 
System.Net.SecurityProtocolType.Ssl3 
| System.Net.SecurityProtocolType.Tls12 
| SecurityProtocolType.Tls11 
| SecurityProtocolType.Tls;
    • Cela ne semble pas répondre à la question de comment utiliser différents protocoles de sécurité pour les deux url différentes.
    • il sorte de ne... que le code va maintenant essayer d'utiliser la plus grande des options que le serveur prend en charge. De sorte que le point final exigeant tls 1.2 travail (depuis le client prend en charge), et il en sera le point final exigeant SSL3 (car encore une fois, c'est au client dans la liste il y a). Vraiment le seul principal inconvénient que je pense, c'est que vous êtes en permettant à votre code client potentiellement l'utilisation d'un très ancien protocole, qui peuvent être exploités. Mais c'est assumé dans le problème.
    InformationsquelleAutor jeffhong99
  9. 0

    Je sais que cette question est ancienne, mais la question reste la même .Net 4.7.2. Dans mon cas, j'ai une application multi-thread qui est en train de parler à deux points de terminaison. D'un point de terminaison ne fonctionne qu'avec TLS 1.2, et l'autre extrémité fonctionne uniquement avec le protocole TLS 1.0 (l'équipe responsable pour que l'on travaille sur la fixation de leur point de terminaison de sorte qu'il sera également en charge de TLS 1.2).

    Pour contourner ce problème, j'ai déplacé les appels de service pour le point de terminaison qui fonctionne uniquement avec le protocole TLS 1.0 à une classe distincte dans la même assemblée, puis chargé de l'assemblage dans un autre domaine d'application. En faisant cela, je peux utiliser cette variable globale: 

    System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;

    juste pour les appels vers le point de terminaison cassé, tout en ayant aussi des appels à la TLS 1.2 point de terminaison (qui ne nécessitent pas de réglage ServicePointManager.SecurityProtocol à rien de précis) de continuer à travailler. Cela garantit également que lorsque le bon point de terminaison est mis à niveau vers TLS 1.3 je n'ai pas besoin de re-publier mon application. Mon application est multi-thread et de haute capacité, donc, de verrouillage ou de try/finally ne sont pas des solutions adéquates.

    Voici le code que j'ai utilisé pour charger l'assembly dans un domaine distinct. Notez que je charge le montage à partir de son emplacement actuel (Aspnet Tempfiles), afin de ne pas bloquer l'ensemble dans le répertoire bin et de bloquer les futurs déploiements.

    Il est également à noter que la classe de proxy hérite de MarshalByRefObject, de sorte qu'il est utilisé comme un proxy transparent qui préserve le Système.Net.ServicePointManager avec sa propre valeur dans son propre domaine d'application.

    Cela semble comme une bête limitation de la part de l' .Net framework, je souhaite que nous pourrions il suffit de spécifier le Protocole directement sur le web demande au lieu de sauter à travers des cerceaux, surtout après des années de cela. 🙁

    Ce code fonctionne, espérons que cela vous aide! 🙂

    private static AppDomain _proxyDomain = null;
private static Object _syncObject = new Object();
public void MakeACallToTls10Endpoint(string tls10Endpoint, string jsonRequest)
{
if (_proxyDomain == null)
{
lock(_syncObject) //Only allow one thread to spin up the app domain.
{
if (_proxyDomain == null)
{
_proxyDomain = AppDomain.CreateDomain("CommunicationProxyDomain");
}
}
}
Type communicationProxyType = typeof(CommunicationProxy);
string assemblyPath = communicationProxyType.Assembly.Location;
//Always loading from the current assembly, sometimes this moves around in ASPNet Tempfiles causing type not found errors if you make it static.
ObjectHandle objectHandle = _proxyDomain.CreateInstanceFrom(assemblyPath, communicationProxyType.FullName.Split(',')[0]);
CommunicationProxy communicationProxy = (CommunicationProxy)objectHandle.Unwrap();
return communicationProxy.ExecuteHttpPost(tls10Endpoint, jsonRequest);
}

    Puis, dans une catégorie distincte: 

    [Serializable]
public class CommunicationProxy : MarshalByRefObject
{
public string ExecuteHttpPost(string tls10Endpoint, string jsonRequest)
{
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;
//<< Bunch of code to do the request >>
}
}
    InformationsquelleAutor Nick Pirocanac