এসএসএল করার সময় কীভাবে শংসাপত্রের চেক উপেক্ষা করবেন

এইচটিটিপিএস সংস্থার অনুরোধ করার সময় আমি শংসাপত্রের চেক উপেক্ষা করার কোনও উপায় অনুসন্ধান করার চেষ্টা করছি, এখন পর্যন্ত আমি ইন্টারনেটে কিছু সহায়ক নিবন্ধ পেয়েছি।

তবে আমার এখনও কিছু সমস্যা আছে। আমার কোড পর্যালোচনা করুন। ServicePointManager.ServerCertificateValidationCallbackকোডটির অর্থ কী তা আমি বুঝতে পারি না ।

এই প্রতিনিধি পদ্ধতিটি কখন ডাকা হবে? এবং আরও একটি প্রশ্ন, আমি এই কোডটি কোন জায়গায় লিখব? ServicePointManager.ServerCertificateValidationCallbackমৃত্যুদণ্ড কার্যকর করার আগে নাকি আগে Stream stream = request.GetRequestStream()?

public HttpWebRequest GetRequest()
{
    CookieContainer cookieContainer = new CookieContainer();

    // Create a request to the server
    HttpWebRequest request = (HttpWebRequest)WebRequest.Create(_remoteUrl);

    #region Set request parameters

    request.Method = _context.Request.HttpMethod;
    request.UserAgent = _context.Request.UserAgent;
    request.KeepAlive = true;
    request.CookieContainer = cookieContainer;
    request.PreAuthenticate = true;
    request.AllowAutoRedirect = false;

    #endregion

    // For POST, write the post data extracted from the incoming request
    if (request.Method == "POST")
    {
        Stream clientStream = _context.Request.InputStream;
        request.ContentType = _context.Request.ContentType;
        request.ContentLength = clientStream.Length;

        ServicePointManager.ServerCertificateValidationCallback = delegate(
            Object obj, X509Certificate certificate, X509Chain chain, 
            SslPolicyErrors errors)
            {
                return (true);
            };

            Stream stream = request.GetRequestStream();

            ....
        }

        ....

        return request;
    }
}   

যেহেতু কেবলমাত্র একটি বিশ্বব্যাপী সার্ভিসপয়েন্ট ম্যানেজার রয়েছে , তাই সার্ভিসপয়েন্ট ম্যানেজার.সভার সার্ভার্টিফিটভিডেশন ক্যালব্যাক সেট করে ফলস্বরূপ ফলিত হবে যে পরবর্তী সমস্ত অনুরোধগুলি এই নীতিটির উত্তরাধিকারী হবে। যেহেতু এটি একটি গ্লোবাল "সেটিং" তাই এটি এটিকে অ্যাপ্লিকেশন_সার্ট পদ্ধতিতে গ্লোবাল.এক্সে সেট করা পছন্দ করা হবে ।

কলব্যাক সেট করা ডিফল্ট আচরণকে ওভাররাইড করে এবং আপনি নিজেই একটি কাস্টম বৈধকরণ রুটিন তৈরি করতে পারেন।

প্রতি অনুরোধের ভিত্তিতে এই সমাধানটি প্রয়োগ করতে আগ্রহী প্রত্যেকের জন্য, এটি একটি বিকল্প এবং লাম্বদা এক্সপ্রেশনটি ব্যবহার করে। একই লাম্বদা এক্সপ্রেশনটি બ્લેক 3 আর দ্বারা উল্লিখিত গ্লোবাল ফিল্টারেও প্রয়োগ করা যেতে পারে। এই পদ্ধতিতে .NET 4.5 প্রয়োজন বলে মনে হচ্ছে।

String url = "https://www.stackoverflow.com";
HttpWebRequest request = HttpWebRequest.CreateHttp(url);
request.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

.NET 4.0-তে, ল্যাম্বডা এক্সপ্রেশনটি গ্লোবাল ফিল্টারটিতে প্রয়োগ করা যেতে পারে

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;

এটি আমার পক্ষে কাজ করেছে:

System.Net.ServicePointManager.ServerCertificateValidationCallback +=
delegate(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certificate,
                        System.Security.Cryptography.X509Certificates.X509Chain chain,
                        System.Net.Security.SslPolicyErrors sslPolicyErrors)
    {
        return true; // **** Always accept
    };

স্নিপেটটি এখান থেকে: http://www.west-wind.com/weblog/posts/2011/Feb/11/HttpWebRequest-and- Ignoring-SSL- সার্টিফিকেট- ত্রুটি

এছাড়াও সংক্ষিপ্ত প্রতিনিধি সমাধান রয়েছে:

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; }; 

উল্লেখ করা হয়েছে যে এর আগে .NET 4.5 এর অ্যাক্সেসের অনুরোধে সম্পত্তিটি ServicePointManagerপাওয়া যায় নি।

এখানে .NET 4.0 কোড রয়েছে যা আপনাকে ServicePointপ্রতি অনুরোধের ভিত্তিতে অ্যাক্সেস দেবে । এটি আপনাকে প্রতি অনুরোধ কলব্যাক অ্যাক্সেস দেয় না, তবে এটি আপনাকে সমস্যা সম্পর্কে আরও বিশদ জানতে দেবে। কেবলমাত্র scvPoint.Certificate(বা ClientCertificateযদি আপনি চান) বৈশিষ্ট্য অ্যাক্সেস করুন ।

WebRequest request = WebRequest.Create(uri);

// oddity: these two .Address values are not necessarily the same!
//  The service point appears to be related to the .Host, not the Uri itself.
//  So, check the .Host vlaues before fussing in the debugger.
//
ServicePoint svcPoint = ServicePointManager.FindServicePoint(uri);
if (null != svcPoint)
{
    if (!request.RequestUri.Host.Equals(svcPoint.Address.Host, StringComparison.OrdinalIgnoreCase))
    {
        Debug.WriteLine(".Address              == " + request.RequestUri.ToString());
        Debug.WriteLine(".ServicePoint.Address == " + svcPoint.Address.ToString());
    }
    Debug.WriteLine(".IssuerName           == " + svcPoint.Certificate.GetIssuerName());
}

ঘটনাক্রমে, আমি জানি কোনও প্রদত্ত অ্যাপ্লিকেশনটিতে সমস্ত শংসাপত্রের বৈধতা বন্ধ করার এটি একটি সর্বনিম্ন ভারবস উপায়:

ServicePointManager.ServerCertificateValidationCallback = (a, b, c, d) => true;

সার্ভিসপয়েন্ট ম্যানেজারে একটি কলব্যাক যোগ করার পরিবর্তে যা বিশ্বব্যাপী শংসাপত্রের বৈধতা ওভাররাইড করবে, আপনি এইচটিপসিপ্লায়েন্টের স্থানীয় উদাহরণে কলব্যাক সেট করতে পারেন। এই পদ্ধতির কেবল এইচটিটিপিপ্লিনেন্টের সেই উদাহরণটি ব্যবহার করে করা কলগুলিকে প্রভাবিত করা উচিত।

এখানে একটি নমুনা কোড দেখানো হচ্ছে যাতে নির্দিষ্ট সার্ভারগুলির জন্য শংসাপত্রের বৈধতা ত্রুটি উপেক্ষা কীভাবে কোনও ওয়েব এপিআই নিয়ামকটিতে প্রয়োগ করা যেতে পারে।

using System.Net.Http;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;

public class MyController : ApiController
{

    // use this HttpClient instance when making calls that need cert errors suppressed
    private static readonly HttpClient httpClient;

    static MyController()
    {
        // create a separate handler for use in this controller
        var handler = new HttpClientHandler();

        // add a custom certificate validation callback to the handler
        handler.ServerCertificateCustomValidationCallback = ((sender, cert, chain, errors) => ValidateCert(sender, cert, chain, errors));

        // create an HttpClient that will use the handler
        httpClient = new HttpClient(handler);
    }

    protected static ValidateCert(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors errors)
    {

        // set a list of servers for which cert validation errors will be ignored
        var overrideCerts = new string[]
        {
            "myproblemserver",
            "someotherserver",
            "localhost"
        };

        // if the server is in the override list, then ignore any validation errors
        var serverName = cert.Subject.ToLower();
        if (overrideCerts.Any(overrideName => serverName.Contains(overrideName))) return true;

        // otherwise use the standard validation results
        return errors == SslPolicyErrors.None;
    }

}

আদমের উত্তর এবং রবের মন্তব্যের ভিত্তিতে আমি এটি ব্যবহার করেছি:

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => certificate.Issuer == "CN=localhost";

যা কিছুটা "উপেক্ষা" ফিল্টার করে। অবশ্যই অন্যান্য ইস্যুকারীদের অবশ্যই যোগ করা যায়। আমাদের কিছু লিগ্যাসি কোড সমর্থন করার জন্য এটি .NET 2.0 তে পরীক্ষা করা হয়েছিল।

CA5386: দূর্বলতা বিশ্লেষণ সরঞ্জামগুলি আপনাকে এই কোডগুলিতে সতর্ক করবে।

সঠিক কোড:

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) =>
{
   return (sslPolicyErrors & SslPolicyErrors.RemoteCertificateNotAvailable) != SslPolicyErrors.RemoteCertificateNotAvailable;
};

। নেট কোর জন্য

using (var handler = new HttpClientHandler())
{ 
    // allow the bad certificate
    handler.ServerCertificateCustomValidationCallback = (request, cert, chain, errors) => true;
    using (var httpClient = new HttpClient(handler))
    {
        await httpClient.PostAsync("the_url", null);
    }
}

স্পষ্টভাবে প্রকাশ করা ...

ServicePointManager.ServerCertificateValidationCallback += new System.Net.Security.RemoteCertificateValidationCallback(CertCheck);

private static bool CertCheck(object sender, X509Certificate cert,
X509Chain chain, System.Net.Security.SslPolicyErrors error)
{
    return true;
}

সানির এবং ব্লাক 3 এর উত্তরগুলিতে যুক্ত করে, আমি আমার অ্যাপ্লিকেশনটির জন্য স্টার্টআপ কোডটিতে নিম্নলিখিতগুলি যুক্ত করেছি, তবে ভিবিতে:

'** Overriding the certificate validation check.
Net.ServicePointManager.ServerCertificateValidationCallback = Function(sender, certificate, chain, sslPolicyErrors) True

কৌতুক করতে পারে বলে মনে হচ্ছে।

টিপ: শীঘ্রই মেয়াদ শেষ হওয়ার কারণে শংসাপত্রগুলি ট্র্যাক করতে আপনি এই পদ্ধতিটিও ব্যবহার করতে পারেন। এটি আপনার বেকনকে বাঁচাতে পারে যদি আপনি কোনও শংসাপত্রের অবসান ঘটাতে পারেন এবং এটি সময়মতো স্থির করতে পারেন। তৃতীয় পক্ষের সংস্থাগুলির পক্ষেও ভাল - আমাদের জন্য এটি ডিএইচএল / ফেডেক্স। ডিএইচএল কেবল একটি শংসাপত্রের মেয়াদ শেষ হতে দিন যা থ্যাঙ্কসগিভিংয়ের 3 দিন আগে আমাদের স্ক্রু করছে। ভাগ্যক্রমে আমি এটি ঠিক করতে প্রায় আছি ... এবার!

    private static DateTime? _nextCertWarning;
    private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors error)
    {
        if (error == SslPolicyErrors.None)
        {
            var cert2 = cert as X509Certificate2;
            if (cert2 != null)
            { 
                // If cert expires within 2 days send an alert every 2 hours
                if (cert2.NotAfter.AddDays(-2) < DateTime.Now)
                {
                    if (_nextCertWarning == null || _nextCertWarning < DateTime.Now)
                    {
                        _nextCertWarning = DateTime.Now.AddHours(2);

                        ProwlUtil.StepReached("CERT EXPIRING WITHIN 2 DAYS " + cert, cert.GetCertHashString());   // this is my own function
                    }
                }
            }

            return true;
        }
        else
        {
            switch (cert.GetCertHashString())
            {
                // Machine certs - SELF SIGNED
                case "066CF9CAD814DE2097D367F22D3A7E398B87C4D6":    

                    return true;

                default:
                    ProwlUtil.StepReached("UNTRUSTED CERT " + cert, cert.GetCertHashString());
                    return false;
            }
        }
    }

কাজ উপরে বেশ কয়েকটি উত্তর। আমি এমন একটি দৃষ্টিভঙ্গি চেয়েছিলাম যে আমাকে কোড পরিবর্তন করতে হবে না এবং আমার কোডটি সুরক্ষিত করে না। তাই আমি একটি শ্বেত তালিকা তৈরি করেছি। হোয়াইটলিস্ট যে কোনও ডেটাস্টোরে রক্ষণাবেক্ষণ করা যায়। আমি কনফিগারেশন ফাইলটি ব্যবহার করেছি কারণ এটি খুব ছোট একটি তালিকা।

আমার কোডটি নীচে।

ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => {
    return error == System.Net.Security.SslPolicyErrors.None || certificateWhitelist.Contains(cert.GetCertHashString());
};

এই সমাধানটির একতা সি # সংস্করণ:

void Awake()
{
    System.Net.ServicePointManager.ServerCertificateValidationCallback += ValidateCertification;
}

void OnDestroy()
{
    ServerCertificateValidationCallback = null;
}

public static bool ValidateCertification(object sender, X509Certificate certificate, X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors)
{
    return true;
}