Kezdőlap > Webfejlesztés > Tanúsítvány ellenőrzésének kikapcsolása webszolgáltatás hívásnál

Tanúsítvány ellenőrzésének kikapcsolása webszolgáltatás hívásnál

2012.06.29. 4:00 Hozzászólás Tovább a hozzászólásokhoz

Nem szeretek alapvetően jó és szükséges biztonsági funkciók kikapcsolásáról írni, de mivel nekünk nem volt más választásunk, másnak is hasznos lehet. Adott egy SOAP kliens, ami hívna egy webszolgáltatást, csakhogy a szerveren lévő tanúsítvány nem érvényes. Szerencsére ezt a .NET Framework kliens oldalon ellenőrzi és normális esetben elszáll a hívás, csakhogy néha sajnos az a kívánság, hogy hibás tanúsítvány esetén is csont nélkül menjen minden. Szerencsére az ellenőrzést ki lehet kapcsolni web.configban a servicePointManager elem segítségével:

<configuration>
  <system.net>
    <settings>
      <servicePointManager
          checkCertificateName="false"
          checkCertificateRevocationList="false" />
    </settings>
  </system.net>
</configuration>

 

Technorati-címkék: ,
About these ads
Kategóriák:Webfejlesztés Címkék: ,
  1. kketto
    2012.06.29. 9:45 - 09:45 | #1
    Válasz | Idéz

    Én anno kódból a System.Net.ServicePointManager.ServerCertificateValidationCallback (a metódusba, amit értékül adtam lazán egy return true-t írtam :) ) ill. a System.Net.ServicePointManager.CheckCertificateRevocatinList property-ket használtam erre a célra.

    • Tóth Viktor
      2012.06.29. 12:41 - 12:41 | #2
      Válasz | Idéz

      Hát, amit te csinálsz, az azért kicsit más, mert minden retket el fog fogadni. A checkCertificateName csak annyit kapcsol ki, hogy nem igényli, hogy a tanusítvány subject mezője megfeleljen a szerver nevének. De ettől függetlenül például olyannak kell lennie a kibocsátójának (vagy magának, ha önaláírt), hogy benne legyen a trusted rootok között. Szóval ez kisebb biztonsági kockázat.
      A te megodlásodnál generálok egy tanusítványt, és már lehet is támadni a kapcsolatot (na majd ha lesz időm, csinálok egy felvételt, hogy megmutassam, mennyire-mennyire egyszerű adatot lopni egy ilyen megoldásnál a “titkosított” csatornáról). A checkCertificateName esetében még mindig olyan tanusítványt kell szereznem, ami benne van a trusted rootban. Ez sem olyan nehéz, veszek egyet például a verisign-tól, de akkor már hozzám köthető a dolog.

      • kketto
        2012.06.29. 12:50 - 12:50 | #3
        Idéz

        OK. Ebben igazad van, nyilván a callback megkapja a cert-et, és “agyonra” lehet vizsgálni! :) Mindazonáltal csupán jelezni akartam, hogy létezik kód megoldás is.

    • Balássy György
      2012.06.29. 20:17 - 20:17 | #4
      Válasz | Idéz

      Igen, valóban lehet kódból is. De ha egyszer oda beleírod, az életben nem fogod onnan kivenni. Egy konfig fájlban több esélyed van a jó útra térésre :)

  1. Nincs visszakövetés.

MINDEN VÉLEMÉNY SZÁMÍT!

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Módosítás )

Twitter kép

You are commenting using your Twitter account. Log Out / Módosítás )

Facebook kép

You are commenting using your Facebook account. Log Out / Módosítás )

Mégse

Kapcsolódás: %s

Követés

Értesítést küldünk minden új bejegyzésről a megadott e-mail címre.

Csatlakozz a 59 követőhöz

%d bloggers like this: