我无法让用户为他们的服务器创建真正的证书,但我想做一些安全检查。因此,以下内容太轻,因为在我阅读时,对证书进行 no 检查。
ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
您建议我让客户检查x509证书?鉴于我使用的是.NET语言(c#/ f#)。
答案 0 :(得分:5)
如果您使用自签名证书,那么您应该期望的唯一错误是根(证书颁发者)上的链错误。我会建议这样的事情,特别是捕获链错误,并让所有其他错误都通过。
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(
ValidateRemoteCertificate
);
private static bool ValidateRemoteCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors policyErrors )
{
string trustedIssuer = "CN=www.domain.com";
string trustedDomain = "CN=www.domain.com";
bool policyErr = false;
switch (policyErrors)
{
case SslPolicyErrors.None:
policyErr |= false;
break;
case SslPolicyErrors.RemoteCertificateChainErrors:
bool chainErr = false;
foreach (X509ChainStatus status in chain.ChainStatus)
{
switch (status.Status)
{
case X509ChainStatusFlags.NoError:
chainErr |= false;
break;
case X509ChainStatusFlags.UntrustedRoot:
if (certificate.Subject != trustedDomain || certificate.Issuer != trustedIssuer)
chainErr |= true;
else
chainErr |= false;
break;
default:
chainErr |= true;
break;
}
}
policyErr |= chainErr;
break;
default:
policyErr |= true;
break;
}
return !policyErr;
}
答案 1 :(得分:4)
如果您无法让客户端创建真正的证书,您至少应该尝试让他们使用您的服务器创建证书。然后,您可以检查证书是否有效,或至少从您的CA检查,因为您将知道您的CA是否已被盗用。如果您信任任何和所有CA,那么真的没有什么值得检查的。
答案 2 :(得分:1)
如果可以检查证书,可以将自己的验证逻辑放在函数ValidateRemoteCertificate
中System.Net.ServicePointManager.ServerCertificateValidationCallback += (a, b, c, d) =>
{
return ValidateRemoteCertificate(a, b, c, d);
};
private static bool ValidateRemoteCertificate(object sender, X509Certificate certificate,
X509Chain chain, SslPolicyErrors policyErrors)
{
if (certificate.Subject.Equals("CN=www.domain.com"))
return true;
else
return policyErrors == SslPolicyErrors.None;
}