본문 바로가기

Delphi/C++Builder

웹사이트의 인증서 오류를 무시하고 http 결과 조회하기(WinInet 이용)

고객사에서 웹서비스 연동 시 아래와 같이 인증서가 잘못된 경우 무시할 수 있는 방법을 요청해 공유합니다.


1, 서버 인증서 오류 내용 

한글 : 이 웹 사이트의 보안 인증서에 문제가 있습니다 

영문 : There is a problem with this website's security certificate - http://support.microsoft.com/kb/931850/ 


2, 영문으로 검색 시 아래와 같은 키워드를 찾았습니다. 

WINHTTP_OPTION_SECURITY_FLAGS 

SECURITY_FLAG_IGNORE_UNKNOWN_CA 

SECURITY_FLAG_IGNORE_CERT_CN_INVALID 

SECURITY_FLAG_IGNORE_CERT_DATE_INVALID 

(https://msdn.microsoft.com/en-us/library/windows/desktop/aa384066(v=vs.85).aspx


위의 플래그들이 잘못된 인증서를 무시하라는 옵션설정으로 보입니다. 


3, 위 보안 플래그를 설정하는 데모 

http://www.nldelphi.com/showthread.php?39901-Bad-cipher-melding 

http://www.experts-exchange.com/Programming/Languages/Pascal/Delphi/Q_26824117.html

위 링크를 참고해 첨부파일의 샘플을 만들어 보았습니다. 

주요 코드는 아래와 같으며 WinInet을 이용하기 위해 uses 절에 "Winapi.WinInet"를 추가해야 합니다.

ReqFlags := ReqFlags
              or SECURITY_FLAG_IGNORE_UNKNOWN_CA
              or SECURITY_FLAG_IGNORE_CERT_CN_INVALID
              or SECURITY_FLAG_IGNORE_CERT_DATE_INVALID
              or SECURITY_FLAG_IGNORE_REVOCATION;
  // Set new flags
  if not(InternetSetOption(hReq, INTERNET_OPTION_SECURITY_FLAGS, @ReqFlags, dwSize)) then begin
    // Get error code
    dwError := GetLastError;
    // Failure
    MessageBox(0, PChar(IntToStr(dwError)), PChar('Confirm'), MB_OK or MB_ICONINFORMATION);
  end;


4, 테스트 & 결과

DelphiIgnoreUnknownCA.zip


첫번째 버튼은 TIdHttp 컴포넌트로 https를 호출하고 

두번째 버튼은 WinInet을 이용했습니다. 


아쉽게도 인증서 오류가 발생한 환경이 없어 고객에게 테스트 요청했습니다. 결과가 오거나 테스트 환경을 찾게되면 테스트 후 결과를 추가하겠습니다.(기본 동작만 https를 제공하는 facebook에서 확인한 상태입니다.)

===============================

[테스트 결과 추가]

고객사에서는 Release 모드인 경우 통과 Debug 모드인 경우 3회의 통신 오류 후 응답 수신되었다는 결과를 받았습니다.

(하지만, 고객사의 내부보안이 강력해 보안 이슈도 고려해야하는 결과였습니다.)