KB4344167 安全更新破坏了 TLS 代码

Question

希望有人可以帮助解决这个问题。最近我们的机器更新了 KB4344167，其中包括 .NET 4.7.1 的安全更新。不幸的是，此更新破坏了我们的 Webrequest 代码。当我们运行下面的代码时，我们得到了这个错误：

请求被中止：无法创建 SSL/TLS 安全通道。

// Create a request for the URL.        
WebRequest request = WebRequest.Create(url);
//specify to use TLS 1.2 as default connection
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;
request.Timeout = int.Parse(configmanager.GetSetting("Webtimeout"));
// Set proxy
request.Proxy = WebRequest.DefaultWebProxy;
request.Proxy.Credentials = CredentialCache.DefaultCredentials;
// Define a cache policy for this request only. 
HttpRequestCachePolicy noCachePolicy = new HttpRequestCachePolicy(HttpRequestCacheLevel.NoCacheNoStore);
request.CachePolicy = noCachePolicy;
ServicePointManager.ServerCertificateValidationCallback = (s, cert, chain, ssl) => true;
// Get the response.
HttpWebResponse response = (HttpWebResponse)request.GetResponse();

从机器上卸载安全更新后，代码可以正常执行。我们在上面的代码中遗漏了什么吗？这是我唯一能想到的。

非常感谢任何帮助！

Answer 1

@Damien_The_Unbeliever 给出了正确答案。最终问题出在 ServicePointManager 和 Webrequest.Create 的顺序上。颠倒这些行，因此在 Webrequest.Create 修复问题之前定义了 ServicePointManager。当我们的服务器迁移到 TLS 1.2 时，我仍然不知道为什么在 Create 之后添加 ServicePointManager 解决了我们原来的问题，但我们现在不用担心这个。

Answer 2

我遇到了类似的事情。看来 MS 在尝试仅启用 TLS 1.2 时可能破坏了某些东西。 https://support.microsoft.com/en-us/help/4458166/applications-that-rely-on-tls-1-2-strong-encryption-experience-connect

到目前为止，我已经尝试将建议的配置添加到 app.config 中，并且效果很好。不再有 SSL/TLS 错误。

<runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontEnableSchUseStrongCrypto=false" /> </runtime>

注意：我们在选择性修补的服务器上发现了这一点，即它们还没有 MS 修复。我们的开发机器从未发现过问题。