Comment ServicePointManager.ServerCertificateValidationCallback gère-t-il la validation des certificats SSL ?

Remplacement de la validation du certificat SSL dans .NET

Cet article explique le délégué ServicePointManager.ServerCertificateValidationCallback et comment il gère la validation des certificats SSL dans les applications .NET.

Le rôle de ServicePointManager.ServerCertificateValidationCallback

Normalement, lors d'une requête HTTPS, le client vérifie le certificat SSL du serveur. ServicePointManager.ServerCertificateValidationCallback fournit un moyen de personnaliser cette vérification. C'est un délégué qui reçoit quatre arguments :

• obj : L'objet à l'origine de la requête.
• certificate : Le certificat X509 du serveur.
• chain : La chaîne de confiance du certificat.
• errors : Toutes les erreurs de stratégie SSL détectées.

Délai d'invocation des délégués

Le délégué est appelé pendant le processus de validation du certificat SSL du .NET Framework, avant qu'aucune donnée ne soit échangée.

Application pratique : ignorer la validation du certificat

Une utilisation courante (bien que potentiellement risquée) consiste à ignorer complètement la validation du certificat. Ceci est réalisé en revenant toujours true du rappel. Cela signifie que le client accepte tout certificat, quelle que soit sa validité.

Exemple d'implémentation (à l'aide d'expressions Lambda)

Les versions .NET modernes (4.5 et ultérieures) simplifient le rappel à l'aide d'expressions lambda :

<code class="language-csharp">ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => true;</code>

Placement des codes

Essentiellement, ce code doit être exécuté avant toute tentative d'établissement de la connexion HTTPS (par exemple, avant d'appeler GetRequestStream()).

Considérations de sécurité

La désactivation de la validation du certificat SSL compromet considérablement la sécurité. N'utilisez cette technique que lorsque cela est absolument nécessaire et après avoir soigneusement examiné les implications en matière de sécurité. Cette approche doit être évitée dans les environnements de production, à moins que vous n'ayez un contrôle et une compréhension complets du certificat et des pratiques de sécurité du serveur.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!