C# - WebClient로 https 호출 시 "The request was aborted: Could not create SSL/TLS secure channel" 예외 발생
오랜만에 간단하게 .NET 4 환경에서 WebClient를 사용했더니,
// 아래의 테스트 환경 결과는 레지스트리 설정, 윈도우 업데이트 패치 등의 영향에 따라 가변적일 수 있으니 유의해야 합니다.
// [클라이언트의 경우, 최소 Windows 10+ 이상의 환경]
// [서버의 경우, 최소 Windows Server 2016+ 환경]
// 1. .NET Framework 4.6+ 타겟으로 빌드하면 예외 발생하지 않음.
// 2. 4.5 이하로 빌드 후 단순히 app.config에 sku=".NETFramework,Version=v4.6"을 지정해도 예외 발생.
// 3. .NET Core로 빌드하면 예외 발생하지 않음.
using System;
using System.Net;
internal class Program
{
static void Main(string[] args)
{
WebClient wc = new WebClient();
try
{
wc.DownloadString("https://shinyoungjin.life/rss.xml");
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
}
}
실행 시 이런 예외가 발생합니다.
// 4.x 응용 프로그램의 경우
C:\test\ConsoleApp1\bin\Debug>ConsoleApp1.exe
System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
at System.Net.WebClient.DownloadDataInternal(Uri address, WebRequest& request)
at System.Net.WebClient.DownloadString(Uri address)
at ConsoleApp1.Program.Main(String[] args) in C:\test\ConsoleApp1\Program.cs:line 17
// 4.x 미만 응용 프로그램의 경우
Unhandled Exception: System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Received an unexpected EOF or 0 bytes from the transport stream.
at System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count)
at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest)
at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
at System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
at System.Net.PooledStream.Write(Byte[] buffer, Int32 offset, Int32 size)
at System.Net.ConnectStream.WriteHeaders(Boolean async)
--- End of inner exception stack trace ---
at System.Net.WebClient.DownloadDataInternal(Uri address, WebRequest& request)
at System.Net.WebClient.DownloadString(Uri address)
at Program.Main(String[] args)
디버거를 이용해 좀 더 세밀하게 예외 상황을 보면 WebException 이전에 이미 "System.Security.Authentication.AuthenticationException" 예외가 발생했고 이때의 메시지는 좀 더 자세한 정보를 담고 있습니다.
System.Security.Authentication.AuthenticationException
HResult=0x80131501
Message=A call to SSPI failed, see inner exception.
Source=System
StackTrace:
at System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception) in f:\dd\NDP\fx\src\net\System\Net\SecureProtocols\_SslState.cs:line 984
Inner Exception 1:
Win32Exception: The function requested is not supported
다행히 검색해 보면 답이 나옵니다. ^^
A call to SSPI failed, see inner exception - The Local Security Authority cannot be contacted
; https://stackoverflow.com/questions/37925505/a-call-to-sspi-failed-see-inner-exception-the-local-security-authority-cannot
그러니까, WebClient가 나온 지 꽤나 오래돼서 ^^; 당시에 기본 옵션이었던 Ssl3/Tls로는 더 이상 https 서버와 통신이 안 되었던 것입니다.
따라서, 혹시나 있을 기존 https 서버와의 호환을 고려해야 한다면 이렇게 코딩을 추가할 수 있습니다.
// SecurityProtocolType.Tls12 == 3072 (0xC00)
// .NET Framework 4.5.2 이하인 경우
// ServicePointManager.SecurityProtocol의 기본값 == SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls
// .NET Framework 4.6 이상인 경우
// ServicePointManager.SecurityProtocol의 기본값 == Tls | Tls11 | Tls12 | Tls13;
ServicePointManager.SecurityProtocol |= SecurityProtocolType.Tls12;
Console.WriteLine(wc.DownloadString("https://shinyoungjin.life/rss.xml"));
SecurityProtocolType에 Tls12 상수가 추가된 것은 .NET 4.5부터라서 만약 .NET 4.0 이하의 프로그램에서 사용해야 한다면 직접 상수를 기재해도 됩니다.
ServicePointManager.SecurityProtocol |= (SecurityProtocolType)3072;
만약 코드 변경을 원하지 않는다면 app.config을 바꿔도 됩니다. 일례로, AppContextSwitchOverrides를 이용해 다음과 같이 설정해 주면,
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<runtime>
<AppContextSwitchOverrides value="Switch.System.Net.DontEnableSchUseStrongCrypto=false" />
</runtime>
</configuration>
"ServicePointManager.SecurityProtocol |= SecurityProtocolType.Tls12;" 코드 설정 없이도 WebClient 호출에 예외가 발생하지 않습니다. 그런데 좀 이상하군요,
CA5361의 정적 검사에서도 DontEnableSchUseStrongCrypto 옵션을 보안상 true로 설정하지 말라고 권고하고 있는데... ^^; 다시 말해 그동안 기본값이 true였던 것입니다.
코드 변경을 하지 않는 또 다른 방법은 레지스트리 설정입니다. 이런 경우, .NET Framework 4.5 이하의 프로그램에 대해서도 Tls12 (또는, 최신 버전의 보안 프로토콜) 설정이 적용되도록 강제할 수 있다는 장점이 있는데요, 방법은 다음의 문서에 잘 나와 있습니다.
How to enable TLS 1.2 on the site servers and remote site systems
- Configure for strong cryptography
; https://learn.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-server#configure-for-strong-cryptography
// 64비트 운영체제/64비트 응용 프로그램, 32비트 운영체제/32비트 응용 프로그램에 대해
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
// 64비트 운영체제에서 32비트 응용 프로그램에 대해
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
참고로, 제어판에서 지역 설정 창의 "
Beta: Use Unicode UTF-8 for worldwide language support" 옵션을 체크하지 않은 경우 위에서 만든 코드를 통해 반환한 텍스트의 한글이 깨져 있는 문제가 있습니다.
이에 대해서도 예전에 쓴 글이 있는데요, ^^
WebClient.DownloadString 문자열 인코딩 문제
; https://www.sysnet.pe.kr/2/0/1493
그나저나, 이런 문제는 근래의
HttpClient를 사용하면 발생하지 않으므로... 이젠 머나먼 과거의 이야기가 될 것입니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]