c# - ssl時に証明書チェックを無視する方法

Question

Httpsリソースを要求するときに証明書チェックを無視する方法を見つけようとしていますが、これまでのところ、インターネットで役立つ記事を見つけました。

しかし、私はまだいくつかの問題を抱えています。私のコードを確認してください。ServicePointManager.ServerCertificateValidationCallbackコードの意味がわかりません。

このデリゲートメソッドはいつ呼び出されますか？そしてもう1つ質問があります。このコードはどこに書くべきですか？実行前ServicePointManager.ServerCertificateValidationCallbackまたは実行前Stream stream = request.GetRequestStream()？

public HttpWebRequest GetRequest()
{
    CookieContainer cookieContainer = new CookieContainer();

    // Create a request to the server
    HttpWebRequest request = (HttpWebRequest)WebRequest.Create(_remoteUrl);

    #region Set request parameters

    request.Method = _context.Request.HttpMethod;
    request.UserAgent = _context.Request.UserAgent;
    request.KeepAlive = true;
    request.CookieContainer = cookieContainer;
    request.PreAuthenticate = true;
    request.AllowAutoRedirect = false;

    #endregion

    // For POST, write the post data extracted from the incoming request
    if (request.Method == "POST")
    {
        Stream clientStream = _context.Request.InputStream;
        request.ContentType = _context.Request.ContentType;
        request.ContentLength = clientStream.Length;

        ServicePointManager.ServerCertificateValidationCallback = delegate(
            Object obj, X509Certificate certificate, X509Chain chain, 
            SslPolicyErrors errors)
            {
                return (true);
            };

            Stream stream = request.GetRequestStream();

            ....
        }

        ....

        return request;
    }
}   

Answer 1

リクエストごとにこのソリューションを適用することに関心がある人にとって、これはオプションであり、Lambda式を使用します。同じLambda式を、blak3rで言及されているグローバルフィルターにも適用できます。この方法には.NET4.5が必要なようです。

String url = "https://www.stackoverflow.com";
HttpWebRequest request = HttpWebRequest.CreateHttp(url);
request.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

.NET 4.0では、ラムダ式をグローバルフィルターにそのまま適用できます。

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

Answer 2

グローバルServicePointManagerは1つしかないため、 ServicePointManager.ServerCertificateValidationCallbackを設定すると、後続のすべてのリクエストがこのポリシーを継承するという結果になります。これはグローバルな「設定」であるため、 Global.asaxのApplication_Startメソッドで設定することをお勧めします。

コールバックを設定すると、デフォルトの動作が上書きされ、カスタム検証ルーチンを自分で作成できます。

Answer 3

これは私のために働いた：

System.Net.ServicePointManager.ServerCertificateValidationCallback +=
delegate(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certificate,
                        System.Security.Cryptography.X509Certificates.X509Chain chain,
                        System.Net.Security.SslPolicyErrors sslPolicyErrors)
    {
        return true; // **** Always accept
    };

ここからのスニペット：http ：//www.west-wind.com/weblog/posts/2011/Feb/11/HttpWebRequest-and-Ignoring-SSL-Certificate-Errors

Answer 4

また、短いデリゲートソリューションがあります。

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; }; 

Answer 5

ちなみに、これは、私が知っている特定のアプリですべての証明書の検証をオフにする最も冗長な方法です。

ServicePointManager.ServerCertificateValidationCallback = (a, b, c, d) => true;

Answer 6

証明書の検証をグローバルにオーバーライドするコールバックをServicePointManagerに追加するのではなく、HttpClientのローカルインスタンスにコールバックを設定できます。このアプローチは、HttpClientのそのインスタンスを使用して行われた呼び出しにのみ影響します。

これは、特定のサーバーの証明書検証エラーを無視する方法をWebAPIコントローラーに実装する方法を示すサンプルコードです。

using System.Net.Http;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;

public class MyController : ApiController
{

    // use this HttpClient instance when making calls that need cert errors suppressed
    private static readonly HttpClient httpClient;

    static MyController()
    {
        // create a separate handler for use in this controller
        var handler = new HttpClientHandler();

        // add a custom certificate validation callback to the handler
        handler.ServerCertificateCustomValidationCallback = ((sender, cert, chain, errors) => ValidateCert(sender, cert, chain, errors));

        // create an HttpClient that will use the handler
        httpClient = new HttpClient(handler);
    }

    protected static ValidateCert(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors errors)
    {

        // set a list of servers for which cert validation errors will be ignored
        var overrideCerts = new string[]
        {
            "myproblemserver",
            "someotherserver",
            "localhost"
        };

        // if the server is in the override list, then ignore any validation errors
        var serverName = cert.Subject.ToLower();
        if (overrideCerts.Any(overrideName => serverName.Contains(overrideName))) return true;

        // otherwise use the standard validation results
        return errors == SslPolicyErrors.None;
    }

}

Answer 7

.netコアの場合

using (var handler = new HttpClientHandler())
{ 
    // allow the bad certificate
    handler.ServerCertificateCustomValidationCallback = (request, cert, chain, errors) => true;
    using (var httpClient = new HttpClient(handler))
    {
        await httpClient.PostAsync("the_url", null);
    }
}

Answer 8

.NET 4.5より前は、アクセス要求のプロパティServicePointManagerが利用できなかったことが言及されています。

ServicePointこれは、リクエストごとににアクセスできるようにする.NET4.0コードです。リクエストごとのコールバックにアクセスすることはできませんが、問題の詳細を確認できるはずです。scvPoint.Certificate（または必要ClientCertificateに応じて）プロパティにアクセスするだけです。

WebRequest request = WebRequest.Create(uri);

// oddity: these two .Address values are not necessarily the same!
//  The service point appears to be related to the .Host, not the Uri itself.
//  So, check the .Host vlaues before fussing in the debugger.
//
ServicePoint svcPoint = ServicePointManager.FindServicePoint(uri);
if (null != svcPoint)
{
    if (!request.RequestUri.Host.Equals(svcPoint.Address.Host, StringComparison.OrdinalIgnoreCase))
    {
        Debug.WriteLine(".Address              == " + request.RequestUri.ToString());
        Debug.WriteLine(".ServicePoint.Address == " + svcPoint.Address.ToString());
    }
    Debug.WriteLine(".IssuerName           == " + svcPoint.Certificate.GetIssuerName());
}

Answer 9

CA5386：脆弱性分析ツールはこれらのコードを警告します。

正しいコード：

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) =>
{
   return (sslPolicyErrors & SslPolicyErrors.RemoteCertificateNotAvailable) != SslPolicyErrors.RemoteCertificateNotAvailable;
};

Answer 10

アダムの答えとロブのコメントに基づいて、私はこれを使用しました：

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => certificate.Issuer == "CN=localhost";

これは「無視」をいくらかフィルタリングします。もちろん、必要に応じて他の発行者を追加することもできます。いくつかのレガシーコードをサポートする必要があるため、これは.NET2.0でテストされました。

Answer 11

明示的に表現...

ServicePointManager.ServerCertificateValidationCallback += new System.Net.Security.RemoteCertificateValidationCallback(CertCheck);

private static bool CertCheck(object sender, X509Certificate cert,
X509Chain chain, System.Net.Security.SslPolicyErrors error)
{
    return true;
}

Answer 12

このソリューションのUnityC＃バージョン：

void Awake()
{
    System.Net.ServicePointManager.ServerCertificateValidationCallback += ValidateCertification;
}

void OnDestroy()
{
    ServerCertificateValidationCallback = null;
}

public static bool ValidateCertification(object sender, X509Certificate certificate, X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors)
{
    return true;
}

Answer 13

.NetCore 3.1では、カスタム検証メソッドを宣言することでこの問題を解決できます。

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };  
  

したがって、リクエストを行う前に、このコールバックメソッドを宣言してください

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };    
HttpWebRequest webRequest = (HttpWebRequest)WebRequest.Create("https://someurl.com/service/");  
HttpWebResponse response = (HttpWebResponse)webRequest.GetResponse();  
  

このように、カスタムメソッドは常に値を返すため、検証は常に合格しますtrue。

Answer 14

Saniとblak3rの回答に加えて、アプリケーションのスタートアップコードに次のコードを追加しましたが、VBでは次のようになります。

'** Overriding the certificate validation check.
Net.ServicePointManager.ServerCertificateValidationCallback = Function(sender, certificate, chain, sslPolicyErrors) True

トリックをするようです。

Answer 15

ヒント：この方法を使用して、間もなく期限切れになる証明書を追跡することもできます。これにより、期限切れが近づいている証明書を発見し、期限内に修正できる場合に、ベーコンを節約できます。サードパーティ企業にも適しています-私たちにとってこれはDHL/FedExです。DHLは、感謝祭の3日前に私たちを台無しにしている証明書を期限切れにします。幸いなことに、私はそれを修正するために周りにいます...今回は！

    private static DateTime? _nextCertWarning;
    private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors error)
    {
        if (error == SslPolicyErrors.None)
        {
            var cert2 = cert as X509Certificate2;
            if (cert2 != null)
            { 
                // If cert expires within 2 days send an alert every 2 hours
                if (cert2.NotAfter.AddDays(-2) < DateTime.Now)
                {
                    if (_nextCertWarning == null || _nextCertWarning < DateTime.Now)
                    {
                        _nextCertWarning = DateTime.Now.AddHours(2);

                        ProwlUtil.StepReached("CERT EXPIRING WITHIN 2 DAYS " + cert, cert.GetCertHashString());   // this is my own function
                    }
                }
            }

            return true;
        }
        else
        {
            switch (cert.GetCertHashString())
            {
                // Machine certs - SELF SIGNED
                case "066CF9CAD814DE2097D367F22D3A7E398B87C4D6":    

                    return true;

                default:
                    ProwlUtil.StepReached("UNTRUSTED CERT " + cert, cert.GetCertHashString());
                    return false;
            }
        }
    }

Answer 16

上記のいくつかの答えが機能します。コードを変更し続ける必要がなく、コードが安全でなくなるようなアプローチが必要でした。そのため、ホワイトリストを作成しました。ホワイトリストは、どのデータストアでも維持できます。非常に小さなリストなので、設定ファイルを使用しました。

私のコードは以下の通りです。

ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => {
    return error == System.Net.Security.SslPolicyErrors.None || certificateWhitelist.Contains(cert.GetCertHashString());
};