La propriété ClientCertificate ne déclenche plus la renégociation pour HttpSys

La propriété HttpContext.Connection.ClientCertificate ne déclenche plus de renégociations TLS pour HttpSys.

Version introduite

ASP.NET Core 6.0

Ancien comportement

Le paramètre HttpSysOptions.ClientCertificateMethod = ClientCertificateMethod.AllowRenegotiation permettait le déclenchement de la renégociation par HttpContext.Connection.ClientCertificate et HttpContext.Connection.GetClientCertificateAsync.

Nouveau comportement

Le paramètre HttpSysOptions.ClientCertificateMethod = ClientCertificateMethod.AllowRenegotiation permet le déclenchement de la renégociation uniquement par HttpContext.Connection.GetClientCertificateAsync. HttpContext.Connection.ClientCertificate retourne le certificat actuel s’il est disponible, mais ne renégocie pas avec le client pour demander le certificat.

Raison du changement

Lors de l’implémentation des mêmes fonctionnalités pour Kestrel, il est devenu évident que les applications doivent être en mesure de vérifier l’état du certificat client avant de déclencher une renégociation. Pour les problèmes tels que le corps de la demande en conflit avec la renégociation, la vérification de l’état permet au modèle d’utilisation suivant de traiter le problème :

if (connection.ClientCertificate == null)
{
  await BufferRequestBodyAsync();
  await connection.GetClientCertificateAsync();
}

Action recommandée

Les applications qui utilisent la négociation différée du certificat client doivent appeler GetClientCertificateAsync(CancellationToken) pour déclencher la renégociation.

API affectées

• Microsoft.AspNetCore.Server.HttpSys.HttpSysOptions.ClientCertificateMethod
• Microsoft.AspNetCore.Http.ConnectionInfo.ClientCertificate
• Microsoft.AspNetCore.Http.ConnectionInfo.GetClientCertificateAsync(CancellationToken)

Voir aussi

• numéro de problème dotnet/aspnetcore 34124