J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] 그냥 RSS Reader 기능과 약간의 UI 편의성 때문에 사용...[이종효] 오래된 소프트웨어는 보안 위협이 되기도 합니다. 혹시 어떤 기능...[정성태] @Keystroke IEEE의 문서를 소개해 주시다니... +_...[손민수 (Keystroke)] 괜히 듀얼채널 구성할 때 한번에 같은 제품 사라고 하는 것이 아...[정성태] 전각(Full-width)/반각(Half-width) 기능을 토...[정성태] Vector에 대한 내용은 없습니다. Vector가 닷넷 BCL...[orion] 글 읽고 찾아보니 디자인 타임에는 InitializeCompon...[orion] 연휴 전에 재현 프로젝트 올리자 생각해 놓고 여의치 않아서 못 ...[정성태] 아래의 글에 정리했으니 참고하세요. C# - Typed D...[정성태] 간단한 재현 프로젝트라도 있을까요? 저런 식으로 설명만 해...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
<h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>C# - WebClient로 https 호출 시 "The request was aborted: Could not create SSL/TLS secure channel" 예외 발생</h1>

오랜만에 간단하게 .NET 4 환경에서 WebClient를 사용했더니, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
// 아래의 테스트 환경 결과는 레지스트리 설정, 윈도우 업데이트 패치 등의 영향에 따라 가변적일 수 있으니 유의해야 합니다.

// [클라이언트의 경우, 최소 Windows 10+ 이상의 환경]
// [서버의 경우, 최소 Windows Server 2016+ 환경]
// 1. .NET Framework 4.6+ 타겟으로 빌드하면 예외 발생하지 않음.
// 2.                4.5 이하로 빌드 후 단순히 app.config에 sku=".NETFramework,Version=v4.6"을 지정해도 예외 발생.
// 3. .NET Core로 빌드하면 예외 발생하지 않음.

using System;
using System.Net;

internal class Program
{
    static void Main(string[] args)
    {
        WebClient wc = new WebClient();

try
 {
 wc.DownloadString("https://shinyoungjin.life/rss.xml");
 }
 catch (Exception ex)
 {
 Console.WriteLine(ex.ToString());
 }
 }
}
</pre>
 
실행 시 이런 예외가 발생합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
// 4.x 응용 프로그램의 경우
C:\test\ConsoleApp1\bin\Debug&gt;ConsoleApp1.exe
System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
 at System.Net.WebClient.DownloadDataInternal(Uri address, WebRequest&amp; request)
 at System.Net.WebClient.DownloadString(Uri address)
 at ConsoleApp1.Program.Main(String[] args) in C:\test\ConsoleApp1\Program.cs:line 17

// 4.x 미만 응용 프로그램의 경우
Unhandled Exception: System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---&gt; System.IO.IOException: Received an unexpected EOF or 0 bytes from the transport stream.
 at System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count)
 at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest)
 at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
 at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
 at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
 at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
 at System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
 at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
 at System.Net.PooledStream.Write(Byte[] buffer, Int32 offset, Int32 size)
 at System.Net.ConnectStream.WriteHeaders(Boolean async)
 --- End of inner exception stack trace ---
 at System.Net.WebClient.DownloadDataInternal(Uri address, WebRequest&amp; request)
 at System.Net.WebClient.DownloadString(Uri address)
 at Program.Main(String[] args)
</pre>
 
디버거를 이용해 좀 더 세밀하게 예외 상황을 보면 WebException 이전에 이미 "System.Security.Authentication.AuthenticationException" 예외가 발생했고 이때의 메시지는 좀 더 자세한 정보를 담고 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
System.Security.Authentication.AuthenticationException
 HResult=0x80131501
 Message=A call to SSPI failed, see inner exception.
 Source=System
 StackTrace:
 at System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception) in f:\dd\NDP\fx\src\net\System\Net\SecureProtocols\_SslState.cs:line 984

Inner Exception 1:
Win32Exception: The function requested is not supported
</pre>
 
다행히 검색해 보면 답이 나옵니다. ^^ 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
A call to SSPI failed, see inner exception - The Local Security Authority cannot be contacted
; <a target='tab' href='https://stackoverflow.com/questions/37925505/a-call-to-sspi-failed-see-inner-exception-the-local-security-authority-cannot'>https://stackoverflow.com/questions/37925505/a-call-to-sspi-failed-see-inner-exception-the-local-security-authority-cannot</a>
</pre>
 
그러니까, WebClient가 나온 지 꽤나 오래돼서 ^^; 당시에 기본 옵션이었던 Ssl3/Tls로는 더 이상 https 서버와 통신이 안 되었던 것입니다. 
 
따라서, 혹시나 있을 기존 https 서버와의 호환을 고려해야 한다면 이렇게 코딩을 추가할 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
// SecurityProtocolType.Tls12 == 3072 (0xC00)

// .NET Framework 4.5.2 이하인 경우
// ServicePointManager.SecurityProtocol의 기본값 == SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls

// .NET Framework 4.6 이상인 경우
// ServicePointManager.SecurityProtocol의 기본값 == Tls | Tls11 | Tls12 | Tls13;

ServicePointManager.SecurityProtocol |= SecurityProtocolType.Tls12;

Console.WriteLine(wc.DownloadString("https://shinyoungjin.life/rss.xml"));
</pre>
 
<a target='tab' href='https://learn.microsoft.com/en-us/dotnet/api/system.net.securityprotocoltype'>SecurityProtocolType</a>에 Tls12 상수가 추가된 것은 .NET 4.5부터라서 만약 .NET 4.0 이하의 프로그램에서 사용해야 한다면 직접 상수를 기재해도 됩니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
ServicePointManager.SecurityProtocol |= (SecurityProtocolType)3072;
</pre>
 
<hr style='width: 50%' /> 
 
만약 코드 변경을 원하지 않는다면 app.config을 바꿔도 됩니다. 일례로, AppContextSwitchOverrides를 이용해 다음과 같이 설정해 주면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
&lt;?xml version="1.0" encoding="utf-8"?&gt;
&lt;configuration&gt;
 &lt;runtime&gt;
 &lt;AppContextSwitchOverrides value="Switch.System.Net.DontEnableSchUseStrongCrypto=false" /&gt;
 &lt;/runtime&gt;
&lt;/configuration&gt;
</pre>
 
"ServicePointManager.SecurityProtocol |= SecurityProtocolType.Tls12;" 코드 설정 없이도 WebClient 호출에 예외가 발생하지 않습니다. 그런데 좀 이상하군요, <a target='tab' href='https://learn.microsoft.com/en-us/dotnet/fundamentals/code-analysis/quality-rules/ca5361'>CA5361</a>의 정적 검사에서도 DontEnableSchUseStrongCrypto 옵션을 보안상 true로 설정하지 말라고 권고하고 있는데... ^^; 다시 말해 그동안 기본값이 true였던 것입니다. 
 
 
<hr style='width: 50%' /> 
<a name='tls12_reg'></a>
 
코드 변경을 하지 않는 또 다른 방법은 레지스트리 설정입니다. 이런 경우, .NET Framework 4.5 이하의 프로그램에 대해서도 Tls12 (또는, 최신 버전의 보안 프로토콜) 설정이 적용되도록 강제할 수 있다는 장점이 있는데요, 방법은 다음의 문서에 잘 나와 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
How to enable TLS 1.2 on the site servers and remote site systems
 - Configure for strong cryptography
; <a target='tab' href='https://learn.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-server#configure-for-strong-cryptography'>https://learn.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-server#configure-for-strong-cryptography</a>
</pre>
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
// 64비트 운영체제/64비트 응용 프로그램, 32비트 운영체제/32비트 응용 프로그램에 대해
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
 "SystemDefaultTlsVersions" = dword:00000001
 "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 "SystemDefaultTlsVersions" = dword:00000001
 "SchUseStrongCrypto" = dword:00000001

// 64비트 운영체제에서 32비트 응용 프로그램에 대해
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
 "SystemDefaultTlsVersions" = dword:00000001
 "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
 "SystemDefaultTlsVersions" = dword:00000001
 "SchUseStrongCrypto" = dword:00000001
</pre>
 
<hr style='width: 50%' /> 
 
참고로, 제어판에서 지역 설정 창의 "<a target='tab' href='https://www.sysnet.pe.kr/2/0/11559#utf8'>Beta: Use Unicode UTF-8 for worldwide language support</a>" 옵션을 체크하지 않은 경우 위에서 만든 코드를 통해 반환한 텍스트의 한글이 깨져 있는 문제가 있습니다. 
 
이에 대해서도 예전에 쓴 글이 있는데요, ^^ 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
WebClient.DownloadString 문자열 인코딩 문제
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/1493'>https://www.sysnet.pe.kr/2/0/1493</a>
</pre>
 
그나저나, 이런 문제는 근래의 <a target='tab' href='https://www.sysnet.pe.kr/2/0/12024'>HttpClient</a>를 사용하면 발생하지 않으므로... 이젠 머나먼 과거의 이야기가 될 것입니다.

<hr />[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

</div>

첨부파일

스팸 방지용 인증 번호

1865 (왼쪽의 숫자를 입력해야 합니다.)