.NET 4.5 和 .NET 4.5.1 默认启用 TLS 1.1 和 TLS 1.2 吗?

问题描述 投票:0回答:4

在我们的 Windows 2012 Server R2 上,我们需要禁用 TLS 1.0。

但是我们正在运行 .NET 4.5 Wcf 服务。我们发现,如果禁用 TLS 1.0,WCF 服务将不再运行,因为我们收到错误“现有连接被远程主机强制关闭”。

.NET 4.5 和 .NET 4.5.1 中是否默认启用 TLS 1.1/1.2?如果不是,我们假设是这种情况,那么在我们的 WCF 项目中,我们强制该项目使用 TLS 1.1/1.2 吗?

c# .net wcf ssl tls1.2
4个回答
125
投票

.NET 4.5 和 .NET 4.5.1 中是否默认启用 TLS 1.1/1.2?

不。各个框架版本启用的默认协议是:

  • .NET Framework 4.5 和 4.5.1:SSLv3 和 TLSv1
  • .NET Framework 4.5.2:SSLv3、TLSv1 和 TLSv1.1
  • .NET Framework 4.6 及更高版本:TLSv1、TLSv1.1 和 TLS1.2

来源:[1] [2] [3]

虽然 Microsoft 建议不要显式指定协议版本,而倾向于使用操作系统的默认值:

为了确保 .NET Framework 应用程序保持安全,TLS 版本不应进行硬编码。 .NET Framework 应用程序应使用操作系统 (OS) 支持的 TLS 版本。

...仍然可以使用

ServicePointManager

 类来选择应用程序支持的协议,特别是通过将 SecurityProtocol
 属性设置为相关的 SecurityProtocolType
s。

在您的情况下,您需要使用以下内容:


System.Net.ServicePointManager.SecurityProtocol =
    SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

请注意,自 2020 年起,TLSv1 和 TLSv1.1 已被有效弃用;您应该避免构建依赖这些协议的新应用程序,并尽一切努力升级当前使用它们的应用程序。

    



      

      
      
      

      

        

          

            

              
17
投票

              
            

          

        

        
Ian Kemp 的答案没有问题,但我只是想提供另一个答案,这意味着您不必重新编译代码。


.NET 4.5 以上的任何版本都可以支持 TLS 1.2,但低于 .NET 4.7 的版本默认为 TLS 1.1。因此,如果您需要使用 TLS 1.2 访问某些内容,您会收到错误,因为它将尝试使用默认值。


您可以将以下代码添加到您的配置文件中,以覆盖默认值。


<runtime>
      <AppContextSwitchOverrides value="Switch.System.Net.DontEnableSystemDefaultTlsVersions=false"/>
</runtime>

更新

对于 .NET Framework 4.7 及更高版本,默认操作系统选择最佳安全协议和版本。


对于 .NET Framework 4.6 到 4.6.2,AppContext 开关可以放置在 app.config 或 webconfig 中,因为系统默认设置将设置为较低的 TLS 或 SSL 版本。


<runtime>
<AppContextSwitchOverrides value="Switch.System.Net.DontEnableSystemDefaultTlsVersions=false"/>
</runtime>

对于 .NET Framework 4.5 到 4.5.2,需要设置注册表项 SchUseStrongCrypto 和 SystemDefaultTlsVersions。


HKEY_LOCAL_MACHINE\SOFTWARE\[Wow6432Node\]Microsoft\.NETFramework\<VERSION>: SchUseStrongCrypto

SchUseStrongCrypto 注册表项具有 DWORD 类型的值。值为 1 会使您的应用程序使用强加密技术,值为 0 则禁用强加密技术。强加密技术使用更安全的网络协议(TLS 1.2、TLS 1.1 和 TLS 1.0)并阻止不安全的协议。对于 .NET Framework 4.5.2 或更早版本,该键默认为 0。在这种情况下,您应该显式将其值设置为 1。


HKEY_LOCAL_MACHINE\SOFTWARE\[Wow6432Node\]Microsoft\.NETFramework\<VERSION>: SystemDefaultTlsVersions

SystemDefaultTlsVersions 注册表项具有 DWORD 类型的值。值为 1 会导致您的应用程序允许操作系统选择协议。值为 0 会使您的应用程序使用 .NET Framework 选择的协议。


如果应用程序面向 .NET Framework 4.6.1 或更早版本,则该键默认为 0。在这种情况下,您应该显式将其值设置为 1。


对于在 32 位操作系统上运行的 32 位应用程序和在 64 位操作系统上运行的 64 位应用程序的示例,请更新以下子项值:


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

对于在 64 位操作系统上运行的 32 位应用程序,请更新以下子项值:


    [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001

    



      

      
      
      

      

        

          

            

              
2
投票

              
            

          

        

        
我也在寻找这个答案,因为我们有一个在生产中运行的 ASP.NET MVC 4.5.x 应用程序。


我认为微软官方文档中有对此问题的更新答案。


有关完整详细信息,请参阅以下内容:

https://learn.microsoft.com/en-us/dotnet/framework/network-programming/tls



看来您只需要更新注册表中的值即可。


他们建议您
不要更改代码来处理差异

仅当您运行 .NET Framework 3.5 时,才需要显式设置标志值。


    




      

      
      
      

      

        

          

            

              
0
投票

              
            

          

        

        

    

      

      
    

  

  

    
最新问题


  





  

    © www.soinside.com 2019 - 2024. All rights reserved.