带有不完整链的SSL证书在.NET Core 2.2中通过验证

SSL Certificate with Incomplete-Chain, passes validation in .NET Core 2.2(带有不完整链的SSL证书在.NET Core 2.2中通过验证)

问题描述

使用.NET Core 2.2时，我需要重新创建一个不完整的链SSL错误，但是ServerCerficateValidationCallback提供给我的证书链与我预期的不同，这些证书通过了验证。有人能解释一下这里出了什么问题吗？

调用badssl.com的独立测试：

    public void DoTheThing()
    {
        string URI = "https://incomplete-chain.badssl.com";

        ServicePointManager.ServerCertificateValidationCallback +=
            new RemoteCertificateValidationCallback(Validate.ValidateRemoteCertificate);

        using (WebClient wc = new WebClient())
        {
            var output = wc.DownloadString(URI);
        }
    }

    public static bool ValidateRemoteCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors policyErrors)
    {
        return policyErrors == SslPolicyErrors.None;
    }

我回调中的X509Chain参数包含3个证书：*.badssl.com、Digicert和Digicert。证书%2是Digicert并且有效。

但是SslLabs，它告诉我应该只有两个证书，第二个证书过期：

推荐答案

.NETX509Chain类具有从环境系统状态查找丢失证书的逻辑，这在这里起作用。只有当服务器发送了不完整的链并且系统无法填充缺失的部分时，您才会从TLS看到不完整的链。

SslLabs正在报告在TLS连接上发生的具体情况。.NET的X509Chain考虑了第二个证书，认为它在链中没有意义，并将其丢弃，因此您无法看到它。无法通过SslStream查看TLS消息中的原始证书数据。

这篇关于带有不完整链的SSL证书在.NET Core 2.2中通过验证的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持编程学习网！