Как игнорировать проверку сертификата, когда ssl

Ответ 1

Поскольку существует только один глобальный ServicePointManager, установка ServicePointManager.ServerCertificateValidationCallback даст результат, который все последующие запросы наследуют эту политику. Поскольку это глобальная "настройка", было бы желательно установить ее в Application_Start в Global.asax.

Настройка обратного вызова отменяет поведение по умолчанию, и вы можете сами создать настраиваемую процедуру проверки.

Ответ 2

Для всех, кто заинтересован в применении этого решения для каждого запроса, это опция и использует выражение Lambda. То же самое выражение Lambda может быть применено к глобальному фильтру, упомянутому также blak3r. Для этого метода требуется .NET 4.5.

String url = "https://www.stackoverflow.com";
HttpWebRequest request = HttpWebRequest.CreateHttp(url);
request.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

В .NET 4.0 выражение Lambda Expression может применяться к глобальному фильтру как таковое

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

Ответ 3

Это сработало для меня:

System.Net.ServicePointManager.ServerCertificateValidationCallback +=
delegate(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certificate,
                        System.Security.Cryptography.X509Certificates.X509Chain chain,
                        System.Net.Security.SslPolicyErrors sslPolicyErrors)
    {
        return true; // **** Always accept
    };

Снимок отсюда: http://www.west-wind.com/weblog/posts/2011/Feb/11/HttpWebRequest-and-Ignoring-SSL-Certificate-Errors

Ответ 4

Также есть короткое решение для делегатов:

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; }; 

Ответ 5

Было указано, что до .NET 4.5 свойство запроса на доступ к его ServicePointManager недоступно.

Вот код .NET 4.0, который даст вам доступ к ServicePoint для каждого запроса. Он не дает вам доступа к обратному запросу для каждого запроса, но он должен позволить вам узнать более подробную информацию о проблеме. Просто войдите в свойства scvPoint.Certificate (или ClientCertificate, если хотите).

WebRequest request = WebRequest.Create(uri);

// oddity: these two .Address values are not necessarily the same!
//  The service point appears to be related to the .Host, not the Uri itself.
//  So, check the .Host vlaues before fussing in the debugger.
//
ServicePoint svcPoint = ServicePointManager.FindServicePoint(uri);
if (null != svcPoint)
{
    if (!request.RequestUri.Host.Equals(svcPoint.Address.Host, StringComparison.OrdinalIgnoreCase))
    {
        Debug.WriteLine(".Address              == " + request.RequestUri.ToString());
        Debug.WriteLine(".ServicePoint.Address == " + svcPoint.Address.ToString());
    }
    Debug.WriteLine(".IssuerName           == " + svcPoint.Certificate.GetIssuerName());
}

Ответ 6

Просто, кстати, это наименее верный способ отключить проверку сертификата в данном приложении, о котором я знаю:

ServicePointManager.ServerCertificateValidationCallback = (a, b, c, d) => true;

Ответ 7

На основе ответов Ада и комментария Роб я использовал это:

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => certificate.Issuer == "CN=localhost";

который несколько фильтрует "игнорирование". Другие эмитенты могут быть добавлены, как требуется, конечно. Это было протестировано в .NET 2.0, так как нам нужно поддерживать некоторый унаследованный код.

Ответ 8

Вместо добавления обратного вызова в ServicePointManager, который будет переопределять проверку сертификата глобально, вы можете установить обратный вызов для локального экземпляра HttpClient. Этот подход должен влиять только на вызовы, сделанные с использованием этого экземпляра HttpClient.

Вот пример кода, показывающий, как игнорирование ошибок проверки сертификата для определенных серверов может быть реализовано в контроллере Web API.

using System.Net.Http;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;

public class MyController : ApiController
{

    // use this HttpClient instance when making calls that need cert errors suppressed
    private static readonly HttpClient httpClient;

    static MyController()
    {
        // create a separate handler for use in this controller
        var handler = new HttpClientHandler();

        // add a custom certificate validation callback to the handler
        handler.ServerCertificateCustomValidationCallback = ((sender, cert, chain, errors) => ValidateCert(sender, cert, chain, errors));

        // create an HttpClient that will use the handler
        httpClient = new HttpClient(handler);
    }

    protected static ValidateCert(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors errors)
    {

        // set a list of servers for which cert validation errors will be ignored
        var overrideCerts = new string[]
        {
            "myproblemserver",
            "someotherserver",
            "localhost"
        };

        // if the server is in the override list, then ignore any validation errors
        var serverName = cert.Subject.ToLower();
        if (overrideCerts.Any(overrideName => serverName.Contains(overrideName))) return true;

        // otherwise use the standard validation results
        return errors == SslPolicyErrors.None;
    }

}

Ответ 9

Выражается явно...

ServicePointManager.ServerCertificateValidationCallback += new System.Net.Security.RemoteCertificateValidationCallback(CertCheck);

private static bool CertCheck(object sender, X509Certificate cert,
X509Chain chain, System.Net.Security.SslPolicyErrors error)
{
    return true;
}

Ответ 10

Добавляя ответы на Sani и blak3r, я добавил следующее в код запуска для моего приложения, но в VB:

'** Overriding the certificate validation check.
Net.ServicePointManager.ServerCertificateValidationCallback = Function(sender, certificate, chain, sslPolicyErrors) True

Кажется, это трюк.

Ответ 11

У меня была та же проблема, поэтому я создал класс, чем помощь с моими кодами. Но используйте HttpClient:

https://github.com/PicolotoLF/IgnoresSSL

Пример:

public async Task DoRequest()
{
    IgnoreSSL Client = new IgnoreSSL();

    var client = Client.IgnoreSSLA();

    //NOTE(picoloto): Use how a HttpClient
    var response = await client.GetAsync(URL)
}

Ответ 12

Совет.. Вы также можете использовать этот метод для отслеживания сертификатов, срок действия которых истекает в ближайшее время. Это может спасти ваш бекон, если вы обнаружите сертификат, срок действия которого истекает, и он может быть исправлен вовремя. Хорошо также для сторонних компаний - для нас это DHL/FedEx. DHL просто позволяет истечь срок действия сертификата, который завязывает нас за 3 дня до Дня Благодарения. К счастью, я собираюсь исправить это... на этот раз!

    private static DateTime? _nextCertWarning;
    private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors error)
    {
        if (error == SslPolicyErrors.None)
        {
            var cert2 = cert as X509Certificate2;
            if (cert2 != null)
            { 
                // If cert expires within 2 days send an alert every 2 hours
                if (cert2.NotAfter.AddDays(-2) < DateTime.Now)
                {
                    if (_nextCertWarning == null || _nextCertWarning < DateTime.Now)
                    {
                        _nextCertWarning = DateTime.Now.AddHours(2);

                        ProwlUtil.StepReached("CERT EXPIRING WITHIN 2 DAYS " + cert, cert.GetCertHashString());   // this is my own function
                    }
                }
            }

            return true;
        }
        else
        {
            switch (cert.GetCertHashString())
            {
                // Machine certs - SELF SIGNED
                case "066CF9CAD814DE2097D367F22D3A7E398B87C4D6":    

                    return true;

                default:
                    ProwlUtil.StepReached("UNTRUSTED CERT " + cert, cert.GetCertHashString());
                    return false;
            }
        }
    }

Ответ 13

Несколько ответов выше работают. Я хотел подход, при котором мне не нужно было постоянно вносить изменения в код, и я не делал свой код небезопасным. Поэтому я создал белый список. Белый список может быть сохранен в любом хранилище данных. Я использовал конфигурационный файл, так как это очень маленький список.

Мой код ниже.

ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => {
    return error == System.Net.Security.SslPolicyErrors.None || certificateWhitelist.Contains(cert.GetCertHashString());
};

Ответ 14

CA5386: Инструменты анализа уязвимостей сообщат вам об этих кодах.

Правильный код:

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) =>
{
   return (sslPolicyErrors & SslPolicyErrors.RemoteCertificateNotAvailable) != SslPolicyErrors.RemoteCertificateNotAvailable;
};