System.Net.WebRequest支持哪些版本的SSL / TLS?

时间:2014-10-16 21:43:42

标签: c# ssl .net-4.5 webrequest poodle-attack

现在已发现SSL 3容易受到POODLE攻击:

连接到任何https Uri时,System.Net.WebRequest使用哪些版本的SSL / TLS?

我使用WebRequest连接到多个第三方API。其中一个已经表示他们将阻止任何使用SSL 3的请求。但是WebRequest是.Net核心框架的一部分(使用4.5),因此它使用的版本并不明显。

3 个答案:

答案 0 :(得分:49)

这是一个重要的问题。 SSL 3协议(1996)被2014年发布的Poodle攻击无法挽回.IETF已发布"SSLv3 MUST NOT be used"。 Web浏览器正在放弃它。 Mozilla FirefoxGoogle Chrome已经这样做了。

用于检查浏览器中协议支持的两个优秀工具是SSL Lab's client testhttps://www.howsmyssl.com/。后者不需要Javascript,因此您可以从.NET HttpClient尝试:

// set proxy if you need to
// WebRequest.DefaultWebProxy = new WebProxy("http://localhost:3128");

File.WriteAllText("howsmyssl-httpclient.html", new HttpClient().GetStringAsync("https://www.howsmyssl.com").Result);

// alternative using WebClient for older framework versions
// new WebClient().DownloadFile("https://www.howsmyssl.com/", "howsmyssl-webclient.html");

结果是该死的:

  

您的客户端正在使用TLS 1.0,它很老,可能容易受到BEAST攻击,并且没有可用的最佳密码套件。用于替换MD5-SHA-1的AES-GCM和SHA256等附加功能不适用于TLS 1.0客户端以及更多现代密码套件。

有关。它与2006年的Internet Explorer 7相当。

要准确列出HTTP客户端支持的协议,您可以尝试以下版本特定的测试服务器:

var test_servers = new Dictionary<string, string>();
test_servers["SSL 2"] = "https://www.ssllabs.com:10200";
test_servers["SSL 3"] = "https://www.ssllabs.com:10300";
test_servers["TLS 1.0"] = "https://www.ssllabs.com:10301";
test_servers["TLS 1.1"] = "https://www.ssllabs.com:10302";
test_servers["TLS 1.2"] = "https://www.ssllabs.com:10303";

var supported = new Func<string, bool>(url =>
{
    try { return new HttpClient().GetAsync(url).Result.IsSuccessStatusCode; }
    catch { return false; }
});

var supported_protocols = test_servers.Where(server => supported(server.Value));
Console.WriteLine(string.Join(", ", supported_protocols.Select(x => x.Key)));

我正在使用.NET Framework 4.6.2。我发现HttpClient仅支持SSL 3和TLS 1.0。这是关于。这与2006年的Internet Explorer 7相当。

更新:它变为HttpClient支持TLS 1.1和1.2,但您必须在System.Net.ServicePointManager.SecurityProtocol手动启用它们。见https://stackoverflow.com/a/26392698/284795

我不知道为什么它会使用坏的协议开箱即用。这似乎是一个糟糕的设置选择,相当于一个主要的安全漏洞(我打赌大量的应用程序不会改变默认值)。我们怎么报告呢?

答案 1 :(得分:46)

使用System.Net.WebRequest时,您的应用程序将与服务器协商以确定应用程序和服务器支持的最高TLS版本,并使用此版本。您可以在此处查看有关其工作原理的更多详细信息:

http://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake

如果服务器不支持TLS,它将回退到SSL,因此它可能会回退到SSL3。您可以在此处查看.NET 4.5支持的所有版本:

http://msdn.microsoft.com/en-us/library/system.security.authentication.sslprotocols(v=vs.110).aspx

为了防止您的应用程序容易受到POODLE的攻击,您可以按照以下说明在运行应用程序的计算机上禁用SSL3:

https://serverfault.com/questions/637207/on-iis-how-do-i-patch-the-ssl-3-0-poodle-vulnerability-cve-2014-3566

答案 2 :(得分:8)

我也在那里给出了答案,但文章@Colonel Panic的更新提到了强制TLS 1.2的建议。将来,当TLS 1.2遭到破坏或被取代时,将代码置于TLS 1.2之后将被视为缺陷。默认情况下,在.Net 4.6中启用与TLS1.2的协商。如果您可以选择将源代码升级到.Net 4.6,我强烈建议您更改强制TLS 1.2。

如果您强行使用TLS 1.2,请强烈考虑留下某种类型的痕迹,如果您升级到4.6或更高版本的框架,将会删除该力。

相关问题
最新问题