Remplacement de la validation du certificat SSL dans .NET
Cet article explique le délégué ServicePointManager.ServerCertificateValidationCallback
et comment il gère la validation des certificats SSL dans les applications .NET.
Le rôle de ServicePointManager.ServerCertificateValidationCallback
Normalement, lors d'une requête HTTPS, le client vérifie le certificat SSL du serveur. ServicePointManager.ServerCertificateValidationCallback
fournit un moyen de personnaliser cette vérification. C'est un délégué qui reçoit quatre arguments :
obj
: L'objet à l'origine de la requête.certificate
: Le certificat X509 du serveur.chain
: La chaîne de confiance du certificat.errors
: Toutes les erreurs de stratégie SSL détectées.Délai d'invocation des délégués
Le délégué est appelé pendant le processus de validation du certificat SSL du .NET Framework, avant qu'aucune donnée ne soit échangée.
Application pratique : ignorer la validation du certificat
Une utilisation courante (bien que potentiellement risquée) consiste à ignorer complètement la validation du certificat. Ceci est réalisé en revenant toujours true
du rappel. Cela signifie que le client accepte tout certificat, quelle que soit sa validité.
Exemple d'implémentation (à l'aide d'expressions Lambda)
Les versions .NET modernes (4.5 et ultérieures) simplifient le rappel à l'aide d'expressions lambda :
<code class="language-csharp">ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;</code>
Placement des codes
Essentiellement, ce code doit être exécuté avant toute tentative d'établissement de la connexion HTTPS (par exemple, avant d'appeler GetRequestStream()
).
Considérations de sécurité
La désactivation de la validation du certificat SSL compromet considérablement la sécurité. N'utilisez cette technique que lorsque cela est absolument nécessaire et après avoir soigneusement examiné les implications en matière de sécurité. Cette approche doit être évitée dans les environnements de production, à moins que vous n'ayez un contrôle et une compréhension complets du certificat et des pratiques de sécurité du serveur.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!