Vérifiez le protocole ssl, cipher & d'autres propriétés dans un asp.net mvc 4

En raison de la conformité des raisons que nous avons pour éteindre le soutien de certains algorithmes de chiffrement et SSL2 sur notre site. Ce n'est pas vraiment un problème, mais nous tenons également à informer, après le succès de leur connexion au site web, que nous vous suggérons de passer sur le protocole TLS 1.2 dans son navigateur, dans le cas où ils ne sont pas déjà à se connecter au serveur avec le protocole TLS 1.2. Donc la question que je me pose est:

Comment puis-je détecter le protocole et de chiffrement utilisé dans une requête https pour une ASP.net (MVC 4) application en cours d'exécution dans IIS?

Je sais qu'il existe des moyens pour se connecter à la SCHANNEL demande dans le journal des événements puis de les lire de nouveau, mais cela semble très laid pour moi.

Et j'ai vu que la Système.Net.De sécurité.SslStream a les propriétés que j'aurais besoin, par exemple: CipherAlgorithm, HashAlgorithm, KeyExchangeAlgorithm & directive sslprotocol, mais je ne suis pas sûr de l'endroit où je peux obtenir ces propriétés dans mon Contrôleur de l'Action dans un mvc4 application.

InformationsquelleAutor Chief Wiggum | 2014-07-29
  1. 35

    Les mauvaises nouvelles, tel que déterminé par ILSpy, c'est qu'il n'existe aucun moyen pour arriver à une System.Net.SslStream instance de n'importe où à l'intérieur de ASP.NET. Cette classe est utilisé pour la programmation directe contre le réseau, par exemple par la WCF cadre. Le meilleur que vous pouvez faire à partir de ASP.NET (que ce soit en utilisant le Système.Web ou OWIN sur le dessus de IIS ou HttpListener) est d'obtenir une variable de serveur (voir la liste des serveur IIS variables) pour savoir si la connexion est sécurisée par quoi que ce soit de la sécurité du transport a été négocié avec le client.

    Aussi loin que la conception déterministe de la lecture des données du journal des événements lors d'une requête web... qui semble effrayant. Mais si vous pouvez le faire fonctionner, s'il vous plaît partager le code. 🙂

    Sinon, vous pouvez essayer de mettre en œuvre votre propre Owin hôte (aka serveur web!) qui utilise SslStream dessous. Peut-être. 😛 Voir cet article pour une introduction détaillée à SslStream de programmation.

    Mais puisque vous êtes déjà en mesure de désactiver certains protocoles sur votre serveur (comme dans cet article, je suppose)... Vous pouvez configurer votre site sur deux différents sous-domaines, par exemple www.example.com et secure.example.com, où l'ancien est à la vanille, serveur web et le dernier est configuré pour accepter les connexions TLS 1.2. Ensuite, vous devez écrire certaines initialisations logique qui obtient servi de www.example.com et essaie de faire une requête AJAX secure.example.com/securityUpgradeCheck (éventuellement avec un joliment stylisé spinner animation et "s'il vous Plaît attendre, en essayant de sécuriser cette connexion" texte pour impressionner vos utilisateurs :)). Si cette demande aboutit, l'utilisateur peut être redirigé vers secure.example.com (probablement définitivement, depuis que l'agent utilisateur est alors appelé à la prise en charge de TLS 1.2, sauf si pour une raison quelconque, l'utilisateur modifie les paramètres de son navigateur).

    Pour plus d'impact, de l'ordre d'un certificat SSL EV pour le domaine sécurisé, de sorte que vos utilisateurs remarquerez la mise à jour de sécurité. 🙂

    Mise à JOUR: j'ai fait un peu plus de creuser, sur la base théorique de l'écriture personnalisée (native) filtre ISAPI (ou l'extension) pour obtenir cette information via le SChannel API. Au début, j'étais plein d'espoir parce que j'ai découvert une fonction HSE_REQ_GET_SSPI_INFO qui permettrait le retour d'une SSPI CtxtHandle structure, et ce que vous pourriez appeler à partir d'une simple extension ISAPI via le EXTENSION_CONTROL_BLOCK ServerSupportFunction fonction. Que CtxtHandle structure, il s'avère, représente un SChannel contexte et peut vous obtenir une référence à un SECPKG_ATTR_CONNECTION_INFO attribut avec lequel vous pouvez récupérer la connexion SSL au niveau de l'information (les mêmes informations qui sont apparues dans les SslStream classe .NET, pour autant que je puisse dire). Toutefois, malheureusement, Microsoft prévoit que la possibilité et a décidé que cette information est uniquement disponible si vous utilisez des certificats client. Le comportement est "by design".

    Il y avait un (native) SSPI fonction, QueryContextAttributes (Schannel), que j'ai découvert au cours d'une longue chasse via MSDN qui peut travail. Je n'ai pas essayé, et il n'arrive tout simplement pas de la même "by design" à la raison comme ISAPI API limitation lié ci-dessus. Toutefois, il peut être vaut la peine d'essayer. Si vous voulez explorer cette voie, voici un exemple d'une extension ISAPI. En fait, avec cette approche, vous pourriez être en mesure d'écrire un module IIS au lieu de cela, à l'aide de la plus récente IIS 7.0+ SDK.

    Mais, en supposant que vous n'avez pas le luxe de la demande de certificats clients et que le plan ne fonctionne pas, qu'il ne laisse que deux options.

    1. Utiliser un autre serveur web (Apache, etc...), fonctionnant sur le même physique/virtuel machine mais sur un autre port, etc. (conformément à notre discussion dans les commentaires, puisque vous ne pouvez pas faire tourner une autre machine). Si vous souhaitez donner au client un message d'information, alors cette approche, couplée avec une requête AJAX, pourrait être suffisant. Oui, un autre port peut être bloqué par un pare-feu quelque part, mais c'est seulement une option de message d'information, de toute façon.
    2. Compter sur le semi-fragiles approche avec le journal des événements Système. Activer l'enregistrement des événements Schannel , puis d'écrire les journaux d'événements de l'interrogation code pour tenter de corréler la demande avec la dernière connecté événement Schannel. Notez que vous aurez besoin de trouver un moyen fiable de les corréler à ce que se trouve dans le journal des événements avec le courant de la requête HTTP, de sorte que vous pourrait également besoin d'écrire un filtre ISAPI/extension ou module IIS dans ce cas de trouver le Schannel handle de contexte (qui est ce que je suis en supposant que la corrélation serait basé sur).

    Par le moyen - est votre équilibreur de charge est configuré pour toute interception SSL? Car alors toute cette chose est discutable de toute façon... Juste une pensée à considérer.

    Mise à JOUR: Activation de la journalisation Schannel déduits de ce bijou:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" /> 
    <EventID>36880</EventID> 
    <Version>0</Version> 
    <Level>4</Level> 
    <Task>0</Task> 
    <Opcode>0</Opcode> 
    <Keywords>0x8000000000000000</Keywords> 
    <TimeCreated SystemTime="2014-08-13T02:59:35.431187600Z" /> 
    <EventRecordID>25943</EventRecordID> 
    <Correlation /> 
    <Execution ProcessID="928" ThreadID="12912" /> 
    <Channel>System</Channel> 
    <Computer>**********</Computer> 
    <Security UserID="S-1-5-18" /> 
  </System>
  <UserData>
    <EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events" xmlns="LSA_NS">
      <Type>client</Type> 
      <Protocol>TLS 1.2</Protocol> 
      <CipherSuite>0x3c</CipherSuite> 
      <ExchangeStrength>2048</ExchangeStrength> 
    </EventXML>
  </UserData>
</Event>

    Ce peuvent être lus directement à partir du code managé. Je pense que le nom d'utilisateur correspond uniquement au processus de travail IIS SID, malheureusement, mais en supposant que vous pouvez venir avec une sorte de corrélation heuristique, vous pourriez mettre en place un thread d'arrière-plan continuellement interroger le journal des événements et de vous donner une liste de récemment établi client poignées de main (l'utilisation d'un ConcurrentDictionary peut-être).

    Là. C'est tout. Pas plus curieux d'enquêter pour moi. Je suis fait. 😛

    • Je vous remercie pour votre réponse. Je suis à l'aide de l'IIS Crypto outil de Nartac pour désactiver les Algorithmes et ainsi de suite, mais cela entraîne les mêmes clés de registre comme indiqué dans le lien. Votre idée avec la requête ajax vers le site sécurisé n'est pas mauvais, mais cela voudrait dire que j'ai besoin de 1 serveur supplémentaire juste pour sonder si TLS 1.2 est activé, qui je pense est un peu exagéré. Pour la conformité et d'autres raisons, je ne vais pas être en mesure de construire ma propre serveur web. Je vais regarder dans d'autres options et de vous permettre de savoir si quelque chose arrive. Cheers!
    • J'étais en train de penser, vous pourriez juste faire une machine virtuelle, peut-être même hébergé sur votre serveur existant. D'autre part, si vous avez plus d'un serveur web, vous pourriez faire une sorte d'équilibrage de charge par le client TLS version. Ce serait un peu plus pratique, car tous les serveurs sont toujours occupés à servir les demandes. Mais bonne chance! La seule autre alternative, je pense utiliser un autre serveur web (Apache? etc.)? qui a un inspectable couche de transport sécurisée.
    • Nous avons déjà un bon équilibrage de charge et une assez décent de l'infrastructure derrière le site. Ce n'est pas un serveur qui sert à la demande du client. Je pourrais sans doute ajouter un spécifique serveur web apache qui s'exécute toutes ces validations et retourne un peu json à la page où je peux utiliser pour afficher le message. Mais je sais déjà maintenant, que notre département ne sera pas trop heureux à maintenir un serveur web apache et le ramener à travers les contrôles de conformité est juste un cauchemar... j'espérais qu'il pourrait être fait avec un standard de l'installation d'IIS.
    • Il y a maintenant une idée - pouvez-vous configurer une règle dans votre équilibreur de charge pour diriger les différents clients de subfarms basé sur la négociation TLS version? Certes, un long shot.
    • Mais en fait, mon idée est valable que si vous avez une charge équilibrée de l'infrastructure avec plusieurs serveurs IIS comme vous l'avez décrit. Donc, ce n'est théoriquement travail. Ce que je suggère, c'est que vous subdivisez votre batterie de serveurs existante dans un sous-ensemble qui sert TLS v1.2+ utilisateurs (sous forme d'un secure.example.com' sous-domaine), et les autres serveurs qui servent tous les autres utilisateurs (en vertu de la norme "www.example.com' sous-domaine que les utilisateurs sont les premiers touchés). Vous avez alors deux à charge équilibrée des fermes de serveurs, service de différents sous-domaines, et un sous-domaine est restreint à TLS v1.2+.
    • Voici un exemple de plusieurs SSL client, des profils sur la touche F5 Q&Un site web, qui suggère une telle chose peut être possible de le faire sur l'équilibrage de charge: devcentral.f5.com/questions/... (Un autre avantage est que votre peuple sera généralement ravis d'avoir l'occasion d'exploiter l'équilibrage de la charge de fonctions de pointe, dans mon expérience. :))
    • Je vais avoir une conversation avec notre chef d'équipe. Tout cela pourrait conduire à une solution viable, mais, malheureusement, l'original de mes questions juste ne semble pas avoir de réponse. J'espère que quelque chose vient dans les deux prochains jours, sinon je vais augmenter la prime. Néanmoins, je vous remercie pour tous les efforts!
    • J'ai fait un peu plus creuser que, nous espérons, a précisé la question quelque peu. Officiellement, Microsoft indique que vous ne pouvez pas obtenir cette information à partir de l'intérieur de IIS par le design, sauf si vous utilisez des certificats client. Il y a peut être une faille dans l'API qui expose ce de toute façon, mais je ne suis pas convaincu que cela va fonctionner. De toute façon, voir mon jour de réponse.
    • Merci Lars pour tous vos efforts. Si personne ne vient avec quelque chose de mieux, je vais certainement la récompense. Cheers!
    • +1 sur le simple niveau de la recherche et de l'expérimentation!
    • Merci. 🙂 J'espère que vous trouverez une solution qui fonctionne pour vous!
    • Grande, dans la profondeur de la réponse qui a été un plaisir à lire.
    • Vous mentionnez que vous pouvez utiliser une variable de serveur pour vérifier "si la connexion est sécurisée par quoi que ce soit de la sécurité du transport a été négocié" je suis juste à la recherche pour voir si le transport est à l'aide de TLS1.2. Cela peut être fait à partir d'une application web? Le lien que vous fournissez n'a pas vraiment de signaler si ce n'est fourni à la demande.
    • Salut @Robba, non, malheureusement, l'IIS de l'API sera seulement dire une application web si la connexion est sécurisée; il ne sera pas le dire, l'application de la sécurité du transport a été négocié. Le reste de ma réponse donne la version longue de la façon dont vous pouvez contourner le problème en utilisant un "canari" serveur que vous avez pré-configuré pour autoriser uniquement les TLS1.2+, et demander au client de faire des demandes pour que les pour voir si elles réussissent.
    • voir ma récente réponse de liaison de stackoverflow.com/questions/53461635/... qui explique comment c'est possible dans IIS 8.5 et plus.

    InformationsquelleAutor Lars Kemmann
  2. 5

    La lecture de ce avec intérêt que nous avons exactement le même problème.

    Il m'est apparu qu'il doit y avoir un service web public disponible à la requête de ce type d'informations, et j'ai fait un peu de recherche et trouvé ceci:
    https://www.howsmyssl.com/s/api.html

    L'API est ici

    Cette API peut être appelée à partir du code Javascript coté client et il retourne standard JSON qui peut être facilement analysée et une alerte montré pour vos utilisateurs.

    Vous pouvez également envoyer les informations à votre propre service web à des fins de journalisation et d'essayer de combiner les informations existantes avec vos journaux IIS.

    La seule question qui vous font face, puis est en s'appuyant sur un tiers. Cet effet peut être atténué par debout sur votre propre serveur d'hébergement et le le code qui est librement disponible sur GitHub.

    Nous allons travailler sur cette solution pour une fois que j'ai un code en place, je mettrai à jour cette réponse.

    Encore merci à Lars pour la réponse ci-dessus. J'aurais ajouté ce qu'un commentaire à ce message mais j'ai pensé qu'il vaut la peine de créer une réponse distincte afin que les gens peuvent trouver plus facile.

    • Génial, merci, j'aurais pu utiliser qu'il y a un an 🙂
    • Quelle solution avez-vous en fin de mise en œuvre de James?
    • Un pas très technique... Nous avons informé tous nos clients par e-mail sur les changements et qu'ils puissent contrôler leurs navigateurs sur le SSL Labs site et ce qu'ils ont à faire pour obtenir jusqu'à ce jour: ssllabs.com/ssltest/viewMyClient.html
    • Voir ma récente réponse de liaison de stackoverflow.com/questions/53461635/... pour une solution documentée.
    InformationsquelleAutor CarlR
  3. 0

    Comment voulez-vous vérifier la négociation de la poignée de main TLS à partir du Serveur? a la manière d'obtenir cette sous IIS 8.5 et plus élevé dans les ASP.Net MVC /WebAPI. Au moins, il a travaillé pour moi et quelques autres, lorsque j'ai répondu hier.

    InformationsquelleAutor No Refunds No Returns