下午好! 我使用 HttpClient 使用 Azure Maps API。 如何启用对 TLS 1.2 的支持? 据我所知,在 Framework 4.6+ 中它是受支持的。我不应该为此做任何事情吗?
【问题讨论】:
标签: c# httpclient azure-maps
使用ServicePointManager 设置安全协议。
获取或设置由 ServicePointManager 对象管理的 ServicePoint 对象使用的安全协议。
HttpClient httpClient = new HttpClient();
//specify to use TLS 1.2 as default connection
System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
此属性选择用于新连接的安全套接字层 (SSL) 或传输层安全 (TLS) 协议的版本;现有连接不会改变。
从 .NET Framework 4.7 开始,此属性的默认值为 SecurityProtocolType.SystemDefault。这允许基于 SslStream(如 FTP、HTTP 和 SMTP)的 .NET Framework 网络 API 从操作系统或系统管理员执行的任何自定义配置继承默认安全协议。
【讨论】:
HttpClient 设置 SecurityProtocol。实际上,代码限制为仅使用 TLS 1.2,因为我认为这是他的意图。
一般您无需在应用程序中指定任何配置即可采用最新的 TLS 协议。
docs.microsoft.com for earlier than .Net 4.7 上概述了最佳实践和方案。
在较高级别上,您应该进行审核以确保您的应用程序不会对较低的 TLS 版本产生任何硬依赖。但否则不需要任何工作。
我们建议您:
- 在您的应用程序上定位 .NET Framework 4.7 或更高版本。在 WCF 应用上定位 .NET Framework 4.7.1 或更高版本。
- 不要指定 TLS 版本。配置您的代码以让操作系统决定 TLS 版本。
- 执行彻底的代码审核以验证您没有指定 TLS 或 SSL 版本。
当您的应用让操作系统选择 TLS 版本时:
- 它会自动利用未来添加的新协议, 例如 TLS 1.3。
- 操作系统会阻止发现不安全的协议。
【讨论】:
TLS best practice 上的 Microsoft 文档值得探索
对我来说,通过添加以下注册表项之一解决了这个问题:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
【讨论】: