System.Net.WebRequest支持哪些版本的SSL / TLS？

现在，已经发现SSL 3容易受到POODLE攻击：

连接到任何https Uri时，System.Net.WebRequest使用哪些版本的SSL / TLS？

我使用WebRequest连接到多个第三方API。其中一位表示，他们将阻止使用SSL 3的任何请求。但是WebRequest是.Net核心框架的一部分（使用4.5），因此不清楚使用的是哪个版本。

使用System.Net.WebRequest时，您的应用程序将与服务器协商以确定应用程序和服务器均支持的最高TLS版本，并使用此版本。您可以在此处查看有关其工作原理的更多详细信息：

http://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake

如果服务器不支持TLS，它将回退到SSL，因此可能会回退到SSL3。您可以在此处查看.NET 4.5支持的所有版本：

http://msdn.microsoft.com/zh-cn/library/system.security.authentication.sslprotocols(v=vs.110).aspx

为了防止您的应用程序容易受到POODLE的攻击，可以按照以下说明在运行应用程序的计算机上禁用SSL3：

/server/637207/on-iis-how-do-i-patch-the-ssl-3-0-poodle-vulnerability-cve-2014-3566

这是一个重要的问题。SSL 3协议（1996）受到2014年发布的Poodle攻击的不可挽回的破坏。IETF已发布“不得使用SSLv3”。Web浏览器正在抛弃它。Mozilla Firefox和Google Chrome已经做到了。

SSL Lab的客户端测试和https://www.howsmyssl.com/是两个用于检查浏览器中协议支持的出色工具。后者不需要Javascript，因此您可以从.NET的HttpClient尝试使用它：

// set proxy if you need to
// WebRequest.DefaultWebProxy = new WebProxy("http://localhost:3128");

File.WriteAllText("howsmyssl-httpclient.html", new HttpClient().GetStringAsync("https://www.howsmyssl.com").Result);

// alternative using WebClient for older framework versions
// new WebClient().DownloadFile("https://www.howsmyssl.com/", "howsmyssl-webclient.html");

结果是该死的：

您的客户端使用的TLS 1.0很旧，可能容易受到BEAST攻击，并且没有可用的最佳密码套件。TLS 1.0客户端以及许多更现代的密码套件均无法使用诸如AES-GCM和SHA256之类的替代品来替代MD5-SHA-1。

那很重要。与2006年的Internet Explorer 7相当。

要确切列出HTTP客户端支持的协议，可以尝试以下特定于版本的测试服务器：

var test_servers = new Dictionary<string, string>();
test_servers["SSL 2"] = "https://www.ssllabs.com:10200";
test_servers["SSL 3"] = "https://www.ssllabs.com:10300";
test_servers["TLS 1.0"] = "https://www.ssllabs.com:10301";
test_servers["TLS 1.1"] = "https://www.ssllabs.com:10302";
test_servers["TLS 1.2"] = "https://www.ssllabs.com:10303";

var supported = new Func<string, bool>(url =>
{
    try { return new HttpClient().GetAsync(url).Result.IsSuccessStatusCode; }
    catch { return false; }
});

var supported_protocols = test_servers.Where(server => supported(server.Value));
Console.WriteLine(string.Join(", ", supported_protocols.Select(x => x.Key)));

我正在使用.NET Framework 4.6.2。我发现HttpClient仅支持SSL 3和TLS 1.0。那很重要。这相当于2006年的Internet Explorer 7。

更新： HttpClient确实支持TLS 1.1和1.2，但是您必须在手动将其打开System.Net.ServicePointManager.SecurityProtocol。参见https://stackoverflow.com/a/26392698/284795

我不知道为什么它会立即使用错误的协议。这似乎是一个糟糕的设置选择，相当于一个重大的安全漏洞（我敢打赌，许多应用程序都不会更改默认设置）。我们如何举报？

我也在这里给出了答案，但是文章@Colonel Panic的更新涉及建议强制使用TLS 1.2。将来，当TLS 1.2被破坏或被取代时，将代码卡在TLS 1.2上将被视为一种缺陷。默认情况下，.Net 4.6中启用了对TLS1.2的协商。如果您可以选择将源升级到.Net 4.6，我强烈建议您通过强制TLS 1.2进行更改。

如果您确实强制执行TLS 1.2，则强烈考虑保留某种类型的面包屑，如果您确实升级到4.6或更高版本的框架，则它将消除该强制。