SSL Certificate with Incomplete-Chain, passes validation in .NET Core 2.2(带有不完整链的SSL证书在.NET Core 2.2中通过验证)
问题描述
使用.NET Core 2.2时,我需要重新创建一个不完整的链SSL错误,但是ServerCerficateValidationCallback提供给我的证书链与我预期的不同,这些证书通过了验证。有人能解释一下这里出了什么问题吗?
调用badssl.com的独立测试:
public void DoTheThing()
{
string URI = "https://incomplete-chain.badssl.com";
ServicePointManager.ServerCertificateValidationCallback +=
new RemoteCertificateValidationCallback(Validate.ValidateRemoteCertificate);
using (WebClient wc = new WebClient())
{
var output = wc.DownloadString(URI);
}
}
public static bool ValidateRemoteCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors policyErrors)
{
return policyErrors == SslPolicyErrors.None;
}
我回调中的X509Chain参数包含3个证书:*.badssl.com、Digicert和Digicert。证书%2是Digicert并且有效。
但是SslLabs,它告诉我应该只有两个证书,第二个证书过期:
推荐答案
.NETX509Chain类具有从环境系统状态查找丢失证书的逻辑,这在这里起作用。只有当服务器发送了不完整的链并且系统无法填充缺失的部分时,您才会从TLS看到不完整的链。
SslLabs正在报告在TLS连接上发生的具体情况。.NET的X509Chain考虑了第二个证书,认为它在链中没有意义,并将其丢弃,因此您无法看到它。无法通过SslStream查看TLS消息中的原始证书数据。
这篇关于带有不完整链的SSL证书在.NET Core 2.2中通过验证的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!
本文标题为:带有不完整链的SSL证书在.NET Core 2.2中通过验证
基础教程推荐
- 我应该在后面的代码中直接使用 Linq To SQL 还是使 2022-01-01
- .NET SerialPort DataReceived 事件未触发 2022-01-01
- C# 从 List<List<int>> 中删除重 2022-01-01
- 禁止输入少量字符,例如'<'、'&a 2022-01-01
- Moq It.Is<>不匹配 2022-01-01
- 当值可以是对象或空数组时反序列化 JSON 2022-01-01
- Azure Functions:CosmosDBTrigger 未在 Visual Studio 中触发 2022-01-01
- WPF 模态进度窗口 2022-01-01
- 如何使用 .Net 检查 Active Directory 服务器是否已启动并正在运行? 2022-01-01
- 如果有人提交恶意软件Nuget包怎么办? 2022-01-01
