.NET 框架中的传输层安全

Question

老板问了我一个问题，实际上我找不到任何连贯/全面的答案！

所以我求助于您，StackOverflow 中明智且无所不知的集体:)

今天的问题是“.NET 支持传输层安全版本 1.1 还是 1.2？”谷歌在这个问题上几乎毫无用处，并且那里的文档严重缺乏。

对此的任何帮助将不胜感激。

谢谢你， 克林特

Answer 1

Windows 7 中添加了 TLS 1.1 和 1.2 支持，我的理解是 .NET 依赖于 Windows 的 SChannel 来提供 TLS 支持。所以我认为你问题的答案是“取决于操作系统”。

现在您应该记住，大多数站点都由旧版本的 OpenSSL 和其他库提供支持，这些库不仅不支持 TLS 1.1 和 1.2，而且如果从客户端收到 TLS 1.1 支持的指示，还会立即关闭连接。换句话说，如果您在客户端中启用 TLS 1.1 支持，您将无法连接到某些服务器。

更新：忘记提及您可以使用第三方 SSL/TLS 实现（例如我们的 SecureBlackbox 产品中的实现）在您的 .NET 应用程序中获得 TLS 1.x 支持。

Answer 2

您可以从这里开始记录自己：

通过证书身份验证实现传输安全

本主题讨论对服务器和客户端使用 X.509 证书
使用传输安全时进行身份验证。欲了解更多信息
关于 X.509 证书，请参阅 X.509 公钥证书。
证书必须由证书颁发机构颁发，通常是
证书的第三方颁发者。在 Windows Server 域上，
Active Directory 证书服务可用于颁发
域中客户端计算机的证书。欲了解更多信息
请参阅 Windows 2008 R2 证书服务。在这种情况下，
服务托管在 Internet 信息服务 (IIS) 下，该服务是
配置有安全套接字层 (SSL)。服务已配置
使用 SSL (X.509) 证书允许客户端验证
服务器的身份。客户端还配置了 X.509
允许服务验证身份的证书
客户。服务器的证书必须得到客户端和客户端的信任
客户端的证书必须被服务器信任。实际的
服务和客户端如何验证彼此身份的机制
超出了本主题的范围。欲了解更多信息，请参阅数字
维基百科上的签名。

SslStream 类

...如果服务器需要客户端身份验证，则客户端必须
指定一个或多个证书进行身份验证。如果客户有
不止一个证书，客户可以提供一个
LocalCertificateSelectionCallback 委托来选择正确的
服务器的证书。客户端的证书必须位于
在当前用户的“我的”证书存储中。客户端认证
Ssl2（SSL 版本 2）不支持通过证书
协议。 ...

Answer 3

它可以支持其中之一；支持来自底层 IIS，而不是 .NET。

有关如何启用 TLS 1.2 的详细信息，请参阅此处：http://support.microsoft.com/kb/245030 。请注意，目前只有少数浏览器支持它。