Atténuation : X509CertificateClaimSet.FindClaims, méthode

En commençant par les applications qui ciblent .NET Framework 4.6.1, la méthode X509CertificateClaimSet.FindClaims tente de trouver une correspondance à l’argument claimType parmi toutes les entrées DNS de son champ SAN.

Impact

Ce changement affecte uniquement les applications qui ciblent .NET Framework 4.6.1 et versions ultérieures.

Pour les applications qui ciblent des versions antérieures du .NET Framework, la méthode X509CertificateClaimSet.FindClaims tente de faire correspondre l’argument claimType uniquement avec la dernière entrée DNS.

Limitation des risques

Si ce changement n’est pas souhaitable, les applications qui ciblent .NET Framework 4.6.1 et versions ultérieures peuvent ne pas y adhérer en ajoutant le paramètre de configuration suivant à la section <runtime> du fichier de configuration de l’application :

<runtime>  
   <AppContextSwitchOverrides value="Switch.System.IdentityModel.DisableMultipleDNSEntriesInSANCertificate=true" />
</runtime>  

De plus, les applications qui ciblent des versions antérieures de .NET Framework, mais qui s’exécutent sous .NET Framework 4.6.1 et versions ultérieures peuvent adhérer à ce comportement en ajoutant le paramètre de configuration suivant à la section <runtime> du fichier de configuration de l’application :

<runtime>  
    <AppContextSwitchOverrides value="Switch.System.IdentityModel.DisableMultipleDNSEntriesInSANCertificate=false" />
</runtime>  

Voir aussi

• Compatibilité des applications