与支持最高支持TLS 1.2多少服务器通信的默认安全协议是什么？将.NET在默认情况下，选择支持在服务器端安全性最高的协议或做我必须明确地添加此行代码：

System.Net.ServicePointManager.SecurityProtocol = 
SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

除了更改代码外，还有其他方法可以更改此默认设置吗？

最后，.NET 4.0仅支持最多TLS 1.0？即我必须将客户项目升级到4.5以支持TLS 1.2。

我的动机是SSLv3即使服务器支持它也要删除对客户端的支持（我已经有一个Powershell脚本在计算机注册表中禁用它），并支持服务器支持的最高TLS协议。

更新： 纵观ServicePointManager类.NET 4.0我看不出有什么枚举值TLS 1.0和1.1。两者.NET 4.0/4.5的默认值为SecurityProtocolType.Tls|SecurityProtocolType.Ssl3。希望此默认设置不会因禁用SSLv3注册表而中断。

但是，我已经决定必须将所有应用程序升级到所有应用程序的所有引导代码，.NET 4.5并明确添加SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;它们。

这将向各种api和服务发出出站请求，而不会降级到api，SSLv3因此应选择的最高级别TLS。

这种方法听起来合理还是过度？我有许多应用程序需要更新，我想对它们进行将来的验证，因为我听说TLS 1.0某些提供商甚至可能会在不久的将来弃用这些应用程序。

作为客户端向API发出出站请求时，在注册表中禁用SSL3甚至会对.NET框架产生影响吗？我看到默认情况下未启用TLS 1.1和1.2，我们是否必须通过注册表启用它？RE http://support.microsoft.com/kb/245030。

经过一番调查，我认为注册表设置不会有任何影响，因为它们适用于IIS（服务器子项）和浏览器（客户端子项）。

抱歉，该帖子变成了多个问题，随后给出了“也许”答案。

一些发表评论的人指出，设置System.Net.ServicePointManager.SecurityProtocol为特定值意味着您的应用程序将无法利用将来的TLS版本，后者可能会成为.NET未来更新中的默认值。您无需指定固定的协议列表，而可以打开或关闭您知道和关心的协议，而不必保留其他任何协议。

要打开TLS 1.1和1.2而不影响其他协议：

System.Net.ServicePointManager.SecurityProtocol |= 
    SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

注意使用|=来打开这些标志而不关闭其他标志。

要关闭SSL3而不影响其他协议：

System.Net.ServicePointManager.SecurityProtocol &= ~SecurityProtocolType.Ssl3;

这System.Net.ServicePointManager.SecurityProtocol两个.NET 的默认4.0/4.5值为SecurityProtocolType.Tls|SecurityProtocolType.Ssl3。

.NET 4.0最多支持，TLS 1.0同时.NET 4.5最多支持TLS 1.2

但是，应用程序目标.NET 4.0仍然可以支持多达TLS 1.2如果.NET 4.5安装在同一个环境中。.NET 4.5安装在顶部.NET 4.0，更换System.dll。

我已经通过观察流量中正确的安全协议fiddler4并通过手动设置.NET 4.0项目中的枚举值来验证了这一点：

ServicePointManager.SecurityProtocol = (SecurityProtocolType)192 |
(SecurityProtocolType)768 | (SecurityProtocolType)3072;

参考：

namespace System.Net
{
    [System.Flags]
    public enum SecurityProtocolType
    {
       Ssl3 = 48,
       Tls = 192,
       Tls11 = 768,
       Tls12 = 3072,
    }
}

如果您尝试在仅.NET 4.0安装了环境的环境中进行黑客入侵，则会出现以下异常：

未处理的异常：System.NotSupportedException：不支持所请求的安全协议。在System.Net.ServicePointManager.set_SecurityProtocol（SecurityProtocolType值）

但是，我不建议您使用此“ hack”，因为将来的补丁等可能会破坏它。*

因此，我决定取消支持的最佳方法SSLv3是：

1. 将所有应用程序升级到 .NET 4.5

2. 在boostrapping代码中添加以下内容，以覆盖其默认值和将来的证明：

   System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

*如果此hack是错误的，请有人纠正我，但是我认为初步测试是有效的

您可以在以下注册表中覆盖默认行为：

Key  : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 
Value: SchUseStrongCrypto
Type: REG_DWORD
Data : 1

和

Key  : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Value: SchUseStrongCrypto
Type: REG_DWORD
Data : 1

有关详细信息，请参见的实现ServicePointManager。

创建一个带有.reg扩展名和以下内容的文本文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

或从以下来源下载：

https://tls1test.salesforce.com/s/NET40-Enable-TLS-1_2.reg

双击安装...

我发现当我仅指定TLS 1.2时，它仍将向下协商为1.1。 System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;

我在.net 4.5 Web应用程序的Global.asax启动方法中指定了此选项。

以下代码将：

• 启用打印的协议
• 打印可用协议
• 如果平台支持TLS1.2，并且未启用TLS1.2，则启用TLS1.2
• 禁用SSL3（如果已启用）
• 打印最终结果

常数：

• 48是SSL3
• 192是TLS1
• 768是TLS1.1
• 3072是TLS1.2

其他协议不会受到影响。这使其与将来的协议（Tls1.3等）兼容。

码

// print initial status
    Console.WriteLine("Runtime: " + System.Diagnostics.FileVersionInfo.GetVersionInfo(typeof(int).Assembly.Location).ProductVersion);
    Console.WriteLine("Enabled protocols:   " + ServicePointManager.SecurityProtocol);
    Console.WriteLine("Available protocols: ");
    Boolean platformSupportsTls12 = false;
    foreach (SecurityProtocolType protocol in Enum.GetValues(typeof(SecurityProtocolType))) {                
        Console.WriteLine(protocol.GetHashCode());
        if (protocol.GetHashCode() == 3072){
            platformSupportsTls12 = true;
        }
    }
    Console.WriteLine("Is Tls12 enabled: " + ServicePointManager.SecurityProtocol.HasFlag((SecurityProtocolType)3072));    


// enable Tls12, if possible
    if (!ServicePointManager.SecurityProtocol.HasFlag((SecurityProtocolType)3072)){
        if (platformSupportsTls12){
            Console.WriteLine("Platform supports Tls12, but it is not enabled. Enabling it now.");
            ServicePointManager.SecurityProtocol |= (SecurityProtocolType)3072;
        } else {
            Console.WriteLine("Platform does not supports Tls12.");
        }
    }

// disable ssl3
   if (ServicePointManager.SecurityProtocol.HasFlag(SecurityProtocolType.Ssl3)) { 
      Console.WriteLine("Ssl3SSL3 is enabled. Disabling it now.");
      // disable SSL3. Has no negative impact if SSL3 is already disabled. The enclosing "if" if just for illustration.
      System.Net.ServicePointManager.SecurityProtocol &= ~SecurityProtocolType.Ssl3;                      
   }
    Console.WriteLine("Enabled protocols:   " + ServicePointManager.SecurityProtocol);

输出量

Runtime: 4.7.2114.0
Enabled protocols:   Ssl3, Tls
Available protocols: 
0
48
192
768
3072
Is Tls12 enabled: False
Platform supports Tls12, but it is not enabled. Enabling it now.
Ssl3 is enabled. Disabling it now.
Enabled protocols:   Tls, Tls12

我的客户将TLS从1.0升级到1.2时遇到了问题。我的应用程序使用.net framework 3.5并在服务器上运行。所以我通过这种方式修复它：

1. 修复程序

在调用HttpWebRequest.GetResponse（）之前，请添加以下命令：

ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls | SecurityProtocolTypeExtensions.Tls11 | SecurityProtocolTypeExtensions.Tls12;

通过添加2个新类来扩展2个DLL：System.Net和System.Security.Authentication

    namespace System.Net
    {
        using System.Security.Authentication;
        public static class SecurityProtocolTypeExtensions
        {
            public const SecurityProtocolType Tls12 = (SecurityProtocolType)SslProtocolsExtensions.Tls12;
            public const SecurityProtocolType Tls11 = (SecurityProtocolType)SslProtocolsExtensions.Tls11;
            public const SecurityProtocolType SystemDefault = (SecurityProtocolType)0;
        }
    } 

    namespace System.Security.Authentication
    {
        public static class SslProtocolsExtensions
        {
            public const SslProtocols Tls12 = (SslProtocols)0x00000C00;
            public const SslProtocols Tls11 = (SslProtocols)0x00000300;
        }
    } 

2. 更新Microsoft批处理

下载批处理：

• 对于Windows 2008 R2：Windows6.1-kb3154518-x64.msu
• 对于Windows 2012 R2：windows8.1-kb3154520-x64.msu

有关下载批处理和更多详细信息，请参见此处：

https://support.microsoft.com/zh-CN/help/3154518/support-for-tls-system-default-versions-included-in-the-.net-framework-3.5.1-on-windows-7 -sp1-和服务器-2008-r2-sp1

奋斗之后，注册表更改机制为我工作。实际上，我的应用程序以32位运行。因此，我不得不更改path下的值。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319

值类型必须为DWORD，且值必须大于0。最好使用1。

我在.NET 4.5.2下运行，我对这些答案都不满意。当我在谈论一个支持TLS 1.2的系统，并且看到SSL3，TLS 1.0和TLS 1.1都已损坏且使用不安全时，我不想启用这些协议。在.NET 4.5.2下，默认情况下都启用了SSL3和TLS 1.0协议，我可以通过检查在代码中看到这些协议ServicePointManager.SecurityProtocol。在.NET 4.7下，有新功能SystemDefault协议模式，它将协议的选择显式移交给OS，我认为依靠注册表或其他系统配置设置将是合适的。.NET 4.5.2似乎不支持该功能。为了编写向前兼容的代码，即使将来不可避免地破坏TLS 1.2，或者当我升级到.NET 4.7+并将更多的责任移交给操作系统时，也将继续做出正确的决定。 ，我采用了以下代码：

SecurityProtocolType securityProtocols = ServicePointManager.SecurityProtocol;
if (securityProtocols.HasFlag(SecurityProtocolType.Ssl3) || securityProtocols.HasFlag(SecurityProtocolType.Tls) || securityProtocols.HasFlag(SecurityProtocolType.Tls11))
{
    securityProtocols &= ~(SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls | SecurityProtocolType.Tls11);
    if (securityProtocols == 0)
    {
        securityProtocols |= SecurityProtocolType.Tls12;
    }
    ServicePointManager.SecurityProtocol = securityProtocols;
}

该代码将检测何时启用了已知的不安全协议，在这种情况下，我们将删除这些不安全协议。如果没有其他显式协议，则我们将强制启用TLS 1.2，这是目前.NET支持的唯一已知安全协议。该代码是前向兼容的，因为它将考虑将来不知道要添加的新协议类型，并且也可以与新协议兼容SystemDefaultNET 4.7中的状态，这意味着我将来不必重新访问此代码。我强烈建议采用这样的方法，而不是无条件地对任何特定的安全协议状态进行硬编码，否则，您将不得不重新编译并用新版本替换客户端，以便在TLS 1.2时升级到新的安全协议不可避免地被破坏，或者更有可能您必须在服务器上将现有的不安全协议保持打开状态数年，使您的组织成为攻击的目标。

Microsoft最近发布了有关此问题的最佳实践。 https://docs.microsoft.com/zh-cn/dotnet/framework/network-programming/tls

摘要

目标.Net Framework 4.7，删除所有设置SecurityProtocol的代码，因此操作系统将确保您使用最安全的解决方案。

注意：您还需要确保操作系统上支持并启用了最新版本的TLS。

OS                          TLS 1.2 support

Windows 10                  \_ Supported, and enabled by default.
Windows Server 2016         /   
Windows 8.1                 \_ Supported, and enabled by default.
Windows Server 2012 R2      /
Windows 8.0                 \_ Supported, and enabled by default.
Windows Server 2012         /
Windows 7 SP1               \_ Supported, but not enabled by default*.
Windows Server 2008 R2 SP1  /
Windows Server 2008         -  Support for TLS 1.2 and TLS 1.1 requires an update. See Update to add support for TLS 1.1 and TLS 1.2 in Windows Server 2008 SP2.
Windows Vista               -  Not supported.

* To enable TLS1.2 via the registry see https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings#tls-12 

    Path: HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Server

        Property: Enabled
        Type: REG_DWORD
        Value: 1

        Property: DisabledByDefault 
        Type: REG_DWORD
        Value: 0

    Path: HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Client

        Property: Enabled
        Type: REG_DWORD
        Value: 1

        Property: DisabledByDefault 
        Type: REG_DWORD
        Value: 0

有关更多信息和较旧的框架，请参考MS链接。

为了完整起见，下面是设置上述注册表项的Powershell脚本：

new-itemproperty -path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -name "SchUseStrongCrypto" -Value 1 -PropertyType "DWord";
new-itemproperty -path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -name "SchUseStrongCrypto" -Value 1 -PropertyType "DWord"

如上所述的硬编码ServicePointManager.SecurityProtocol或显式SchUseStrongCrypto密钥的替代方法：
您可以告诉.NET将默认的SCHANNEL设置与SystemDefaultTlsVersions密钥一起使用，
例如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001

解决此问题的最佳方法似乎是至少升级到.NET 4.6或更高版本，这将自动选择强协议和强密码。

如果您无法升级到.NET 4.6，请参阅设置建议

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

并使用注册表设置：

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft.NETFramework \ v4.0.30319 – SchUseStrongCrypto = DWORD为1 HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft.NETFramework \ v4.0.30319 – SchUseStrongCrypto = DWORD为1

结果使用的不是TLS 1.0和强密码。

在我的测试中，即使我的测试应用程序是为Any CPU构建的，也只有Wow6432Node中的设置有所不同。

根据.NET Framework的传输层安全性（TLS）最佳实践： 为了确保.NET Framework应用程序保持安全，不应对TLS版本进行硬编码。而是设置注册表项：SystemDefaultTlsVersions 和 SchUseStrongCrypto：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

如果可以使用.NET 4.7.1或更高版本，它将基于操作系统功能使用TLS 1.2作为最低协议。根据Microsoft的建议：

To ensure .NET Framework applications remain secure, the TLS version should not be hardcoded. .NET Framework applications should use the TLS version the operating system (OS) supports.

对于密钥：HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft.NETFramework \ v4.0.30319值：SchUseStrongCrypto

您必须将该值设置为1。