.NET 4.0 默认不支持 TLS 1.2，如何安全启用 TLS 1.2？

一、现象定位：为什么.NET 4.0在启用TLS 1.2的系统上仍失败？

根本原因在于：ServicePointManager.SecurityProtocol 在 .NET Framework 4.0 中默认值为 SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls（即仅含 SSL 3.0 和 TLS 1.0），且该枚举在 4.0 中未定义 Tls12 成员（该成员首次出现在 .NET 4.5）。即使 Windows SChannel 已支持 TLS 1.2，.NET 运行时若未通过反射或位运算显式启用，底层 WinHttp/SChannel 将不会协商该协议。

二、兼容性边界：运行时与操作系统的交叉约束

⚠️ 注意：仅设置注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\* 不足以让 .NET 4.0 自动启用——必须在代码层“唤醒”该能力。

三、安全启用方案：四层渐进式实现策略

1. 基础层（全局静态初始化）：在 Application_Start（Web）或 Main()（WinForms/Console）中，使用反射安全注入 TLS 1.2：
2. 增强层（线程/作用域隔离）：对 HttpClientHandler（需 .NET 4.5+ 才原生支持，故不适用）退而采用 WebRequest + 自定义 ServicePoint 配置；
3. 封装层（第三方库适配）：为 RestSharp 105.x 等旧版库提供 IRestClient 包装器，强制其底层 HttpWebRequest 绑定 TLS 1.2；
4. 兜底层（降级容错）：通过 try-catch 捕获 WebException 并动态回退至 TLS 1.0（仅限调试/遗留系统临时过渡）。

四、核心代码实现（兼顾并发安全与向后兼容）

// ✅ 推荐：幂等、线程安全、反射兼容的 TLS 1.2 启用
private static readonly object _tlsLock = new object();
private static bool _tls12Enabled = false;

public static void EnsureTls12Enabled()
{
    if (_tls12Enabled) return;
    lock (_tlsLock)
    {
        if (_tls12Enabled) return;

        // 反射获取 SecurityProtocolType.Tls12（.NET 4.0 中不存在，但 Win8+/2012+ 运行时存在）
        var tls12 = ServicePointManager
            .GetType()
            .GetField("SecurityProtocolTypeTls12", 
                BindingFlags.Static | BindingFlags.NonPublic)?
            .GetValue(null);

        if (tls12 != null)
        {
            ServicePointManager.SecurityProtocol |= (SecurityProtocolType)(int)tls12;
            _tls12Enabled = true;
        }
        // 若反射失败（如旧OS无Tls12类型），保留原有协议，避免异常中断
    }
}

五、第三方库适配要点（以 RestSharp 105.2.3 为例）

RestSharp 105.x 默认使用 HttpWebRequest，其协议继承自 ServicePointManager.SecurityProtocol。但部分封装类（如自定义 WebClient 子类）可能缓存 ServicePoint 实例，导致首次调用后协议锁定。解决方案：

• 在每次创建 RestClient 前调用 EnsureTls12Enabled()；
• 禁用连接池：client.UseSynchronizationContext = false; + client.Timeout = 30000;；
• 对 WebClient 封装类，重写 GetWebRequest 方法并显式设置 webRequest.ServicePoint.Expect100Continue = false; 防止预检失败。

六、风险规避与生产验证清单

七、常见误区与反模式警示

• ❌ 在多个线程中反复赋值 ServicePointManager.SecurityProtocol = ... → 引发 InvalidOperationException 或竞态降级；
• ❌ 仅修改注册表却未重启 IIS/W3SVC → svchost.exe 承载的 SChannel 实例未重载配置；
• ❌ 使用 (SecurityProtocolType)12288 硬编码 → 在非 Windows 平台（Mono）或未来协议扩展中失效；
• ❌ 为兼容老服务而全局禁用 TLS 1.2 → 违反 PCI-DSS 4.1、NIST SP 800-52r2 合规要求。

八、长期演进建议（面向架构治理）

对于仍在维护的 .NET 4.0 系统，应建立“TLS 协议健康度看板”：

• 采集 ServicePoint.CurrentConnections 的 ProtocolVersion 字段（需 ETW 或自定义 HttpModule 注入）；
• 将 TLS 协商结果上报至 Application Insights（使用 TelemetryClient.TrackEvent）；
• 设定告警规则：TLS 1.0 占比 > 5% 或 TLS 1.2 失败率突增 > 3 倍基线值；
• 同步推动依赖方升级 API 端 TLS 最低版本至 1.2（HTTP 严格传输安全头 Strict-Transport-Security: max-age=31536000; includeSubDomains）。