0

WPF+Telerik を介して構築されたフロント エンドと、WCF Web サービスを使用したバックエンド通信を備えた Windows ベースのデスクトップ シック クライアント アプリがあります。

現在、通信はSSL3.0で行われています

SSL3.0 に関する最近のセキュリティ問題により、サーバー側で TLS 1.2 または TLS 1.1 を使用して、TLS のみを介したすべての通信を強制することが決定されました。

Fiddler と Wireshark を使用して、基盤となる Web サービス通信を検証してみました。200 の「Tunnel to」リクエストが TLS 経由で発生していることがわかります。

しかし、TLS が WebService Requests の ThickClient アプリによって明示的および暗黙的に使用されているかどうかをクロスチェックする他の方法はありますか?

Windows は、2014 年 12 月 15 日の Windows Update で TLS ホットフィックスをプッシュし、同じものが Windows 2008 R2 アプリケーション サーバーにインストールされています。SSL3.0 はフォールバック オプションとしてまだ無効になっていませんが、明示的に TLS は有効になっていません。ただし、MS KB の記事では、TLS が優先されると記載されています (TLS1.2>TLS1.1>TLS1.0>SSL3.0)。

セキュリティ アップデート (KnowledgeBase 記事 KB2992611 に続いて別のアップデート KB3018238) が 2014 年 12 月 9 日にプッシュされ、2014 年 12 月 15 日に HP マンスリー パッチを介して同じものがインストールされました<br> セキュリティ パッチとそのパッチの詳細については、次のリンクを確認してください。影響。SSLv3.0 脆弱性に対するパッチに関する Microsoft の公式更新 https://support2.microsoft.com/kb/2992611/en-us リンク 2: technet.microsoft.com/en-us/library/security/ms14-066.aspx

TLS Link3 のサポートの詳細: blogs.msdn.com/b/kaushal/archive/2011/10/02/support-for-ssl-tls-protocols-on-windows.aspx

初期パッチ KB2992611 で特定された問題と KB3018238 Link4 による即時修正block-iis-sites.html

4

1 に答える 1

1

サーバーで TLS が有効になっているかどうか、またはネゴシエートできるかどうかをテストすることが意図されている場合は、TLS のネゴシエーションを強制するためにいくつかのプローブ コードを記述しTcpClientSSLStream実際にネゴシエートされたかどうかを確認できます。見る:

.NET コードによって発行されたすべての「https」リクエストで SSL フォールバックを防止する場合は、次のように設定します。

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

注: に適用されるため、同じ AppDomain で実行されたものにAppDomain影響します。HttpWebRequests

サーバーとの通信に使用される WCF チャネル スタックをより明示的/高度に制御したい場合 (TLS トランスポート レベル セキュリティのみを強制的に使用できるようにするため)、独自のStreamUpgradeProvider.

(私はあなたがStreamTLS を使用して独自のものを確立し、それを使用するようにチャネルをアップグレードするTcpClientSSlStream思います...(それは間違っている可能性があります)...またはそれはあなたですStreamアップグレードで指定された をSSlStream)でラップします。

于 2015-02-13T16:27:22.233 に答える