Mitigação: método X509CertificateClaimSet.FindClaims

Começando com aplicativos direcionados ao .NET Framework 4.6.1, o método X509CertificateClaimSet.FindClaims tentará corresponder o argumento claimType com todas as entradas DNS em seu campo SAN.

Impacto

Essa alteração afeta somente os aplicativos que se destinam a versões do .NET Framework, começando pelo .NET Framework 4.6.1.

Em aplicativos direcionados a versões anteriores do .NET Framework, o método X509CertificateClaimSet.FindClaims tenta corresponder o argumento claimType apenas à última entrada DNS.

Atenuação

Se essa alteração for indesejável, aplicativos que se destinarem ao .NET Framework 4.6.1 ou a uma versão posterior poderão recusá-la adicionando a seguinte definição de configuração à seção <runtime> do arquivo de configuração do aplicativo:

<runtime>  
   <AppContextSwitchOverrides value="Switch.System.IdentityModel.DisableMultipleDNSEntriesInSANCertificate=true" />
</runtime>  

Além disso, os aplicativos direcionados a versões anteriores do .NET Framework, mas executados no .NET Framework 4.6.1 e nas versões posteriores, podem escolher adotar esse comportamento adicionando a definição de configuração a seguir à seção <runtime> do arquivo de configuração de aplicativo:

<runtime>  
    <AppContextSwitchOverrides value="Switch.System.IdentityModel.DisableMultipleDNSEntriesInSANCertificate=false" />
</runtime>  

Confira também

• Compatibilidade de aplicativos