带有不完整链的SSL证书在.NET Core 2.2中通过验证 [英] SSL Certificate with Incomplete-Chain, passes validation in .NET Core 2.2
本文介绍了带有不完整链的SSL证书在.NET Core 2.2中通过验证的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
使用.NET Core 2.2时,我需要重新创建一个不完整的链SSL错误,但是ServerCerficateValidationCallback提供给我的证书链与我预期的不同,这些证书通过了验证。有人能解释一下这里出了什么问题吗?
调用badssl.com的独立测试:
public void DoTheThing()
{
string URI = "https://incomplete-chain.badssl.com";
ServicePointManager.ServerCertificateValidationCallback +=
new RemoteCertificateValidationCallback(Validate.ValidateRemoteCertificate);
using (WebClient wc = new WebClient())
{
var output = wc.DownloadString(URI);
}
}
public static bool ValidateRemoteCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors policyErrors)
{
return policyErrors == SslPolicyErrors.None;
}
我回调中的X509Chain参数包含3个证书:*.badssl.com、Digicert和Digicert。证书%2是Digicert并且有效。
但是SslLabs,它告诉我应该只有两个证书,第二个证书过期:
推荐答案
.NETX509Chain类具有从环境系统状态查找丢失证书的逻辑,这在这里起作用。只有当服务器发送了不完整的链并且系统无法填充缺失的部分时,您才会从TLS看到不完整的链。
SslLabs正在报告在TLS连接上发生的具体情况。.NET的X509Chain考虑了第二个证书,认为它在链中没有意义,并将其丢弃,因此您无法看到它。无法通过SslStream查看TLS消息中的原始证书数据。
这篇关于带有不完整链的SSL证书在.NET Core 2.2中通过验证的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
