.NET 4.5中的默认安全协议

与支持TLS 1.2的服务器通信的默认安全协议是什么?.NET默认情况下会选择服务器端支持的最高安全协议吗?或者我必须显式地添加这行代码:

System.Net.ServicePointManager.SecurityProtocol = 
SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

除了代码更改之外，是否有方法更改此默认值?

最后，.NET 4.0是否只支持TLS 1.0?例如，我必须将客户端项目升级到4.5以支持TLS 1.2。

我的动机是在客户端删除对SSLv3的支持，即使服务器支持它(我已经有一个powershell脚本在机器注册表中禁用它)，并支持服务器支持的最高TLS协议。

更新: 查看。net 4.0中的ServicePointManager类，我没有看到TLS 1.0和1.1的枚举值。在这两个。net 4.0/4.5中，默认为SecurityProtocolType.Tls|SecurityProtocolType.Ssl3。希望在注册表中禁用SSLv3不会破坏这个默认值。

然而，我决定将所有应用程序升级到。net 4.5，并显式地添加SecurityProtocolType。Tls |安全协议类型。Tls11 | SecurityProtocolType.Tls12;总之，所有应用程序的引导代码。

这将使对各种api和服务的出站请求不降级到SSLv3，并且应该选择最高级别的TLS。

这种方法听起来合理还是过份?我有很多应用程序要更新，我想在未来证明它们，因为我听说在不久的将来，一些提供商可能会弃用TLS 1.0。

作为一个向api发出出站请求的客户端，在注册表中禁用SSL3会对.NET框架产生影响吗?我看到默认情况下，TLS 1.1和1.2没有启用，我们必须通过注册表启用它吗?是http://support.microsoft.com/kb/245030。

经过一番研究，我相信注册表设置不会有任何影响，因为它们适用于IIS(服务器子密钥)和浏览器(客户端子密钥)。

对不起，这篇文章变成了多个问题，然后是“可能”的答案。

当前回答

硬编码ServicePointManager的替代方案。SecurityProtocol或上面提到的显式SchUseStrongCrypto密钥: 你可以告诉。net使用SystemDefaultTlsVersions键来使用默认的channel设置，例如:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001

2016-07-20 16:17:27

其他回答

创建一个扩展名为.reg的文本文件，内容如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

或从以下来源下载:

https://gist.githubusercontent.com/dana-n/174759ce95e04fa1a8fd691f633ccbd3/raw/NET40-Enable-TLS-1_2.reg

双击安装…

2015-11-30 23:29:37

用于密钥:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 价值:SchUseStrongCrypto

您必须将该值设置为1。

2015-06-23 15:30:10

在经历了一番挣扎之后，注册表更改机制为我工作了。实际上，我的应用程序是32位的。所以我必须改变路径下的值。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319

值类型需要为DWORD且值大于0。最好使用1。

2015-07-06 20:43:55

根据。net框架的传输层安全(TLS)最佳实践: 为了确保. net Framework应用程序保持安全，TLS版本不应该被硬编码。而是设置注册表项:SystemDefaultTlsVersions和SchUseStrongCrypto:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

2020-04-09 11:11:55

一些在其他答案上留下评论的人注意到，将System.Net.ServicePointManager.SecurityProtocol设置为特定的值意味着你的应用程序将无法利用未来的TLS版本，这些TLS版本在未来的。net更新中可能成为默认值。与其指定一个固定的协议列表，不如执行以下操作:

对于。net 4.7或更高版本，不要设置System.Net.ServicePointManager.SecurityProtocol。默认值(SecurityProtocolType.SystemDefault)将允许操作系统使用它知道的和已配置的任何版本，包括在应用程序创建时可能不存在的任何新版本。

对于。net Framework的早期版本，您可以打开或关闭您所了解和关心的协议，而让其他协议保持原样。

启用TLS 1.1和TLS 1.2而不影响其他协议:

System.Net.ServicePointManager.SecurityProtocol |= 
    SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

注意使用|=来打开这些标志而不关闭其他标志。

关闭SSL3而不影响其他协议。

System.Net.ServicePointManager.SecurityProtocol &= ~SecurityProtocolType.Ssl3;

2016-04-06 14:51:31

.NET 4.5中的默认安全协议

推荐文章

最新文章

标签