Не знаю, в эту ли тему...

На Vs 2010 создан простой сайт (asp.net vb).
Публикуется по 2м протоколам - http и https.
К https (при публикации в IIS привязан самоподписывающийся сертификат).

Вопрос: как в коде определить, что:
1. обращение к сайту идет через https (это вроде не сложно, можно анализ адресной строки сделать)
2. основное - если через https, то включил ли пользователь доверие к сертификату в своем обозревателе (установил в довереные корневые), а не просто нажал "продолжить", когда было предупреждение о входе на сайт с недоверенным сертификатом?

netivan,

спасибо за ответ.

>> 2. если речь идет о серверном , то да. Если при валидации возникнут ошибки то получите исключение SSL. Вообще этим поведением занимается ServicePointManager.ServerCertificateValidationCallback =

можно по подробнее?
>> получите исключение SSL
это на каком этапе? пользователь входит на сайт, там его принудильно перебрасывает на https ну или например надо нажать кнопку "вход" (для прохождения стандартной процедуры логин\пароль). на эту страницу он попадает (рассматриваем действия в IE) либо если нажал "продолжить", при сообщении, что сертификат сервера не валидный, либо открыл сертификат на просмотр, нажал "установить" и установил в хранилище корневых сертификатов. Сертификат выпущен через IIS для сайта сроком на 1 год, имя совпадает с названием сайта.
Соответственно, когда мы попали на эту страничку с логином, надо определить, является ли соединение довереным (зашифровано, сверху в IE зеленая адресная строчка и замок) или там горит красный щит (не зашифровано и логин\пароль отправляется на сайт в открытом виде). Вот что интересует.
В Opera и FF сертификат в довернеые не ставится, но там можно на время сеанса доверие включить. Как в этом случае быть? Но это позже, пока интересует только вход через IE и правильная реакция сайта, который, если соединение через https идет, но не зашифровано - не даст юзверю логин\пароль ввести, а скажет что надо сертификат поставить.

netivan,

:) я бы не заморачивался, если бы можно было бы купить сертификат (котрый кстати ограничен по времени и немало стоит). тогда проще если деньги есть прогеров нанять грамотных, чтобы двиг сайта написали.

меня интересует в частности: если сертификат не установлен и связь идет через https, я так понимаю - шифрование не
производится. вот это где то можно выяснить - включено оно или нет? Наверняка же где то можно. и в свойствах соединения что то должно менятся...

Если как предложил bazile - использовать

' Check whether the request is sent
' over HTTPS. If not, do not return
' content to the client.
If (Request.IsSecureConnection = False) Then
Response.SuppressContent = True
End If

то тут идет просто проверка http или https, а включение шифрования не учитывается. Это и так можно сделать, принудительно пуская все соединения с http на https через tmg 2010, который стоит перед IIS.
еще идеи есть?

bazile,

>> 249 $ за год
считаю что это много очень (во всяком случае для меня, каждый год по 250 грин отстегивать + проценты на перевод денег). а если учесть, что есть openssl - то это прямое выколачивание денег, думаю проще пользователям нужным сертификат разослать свой, чем покупать (это касаемо небольших домашних сайтов, про крупные конторы молчу, им для солидности надо, хотя смысл один).

>>Шифрование будет всегда
Вот хочется уточнить, какое. Почему в таком случае, при входе например черз Хром или FF сверху пишется (когда сертификат не ставишь, а принимаешь просто) что соединение - незашифровано?

bazile,

упс, давно я последние версии не видел др. обозревателей кроме IE, ща вот поставил, помню что писали чтото подобное,
а ща да, вроде пишут, что шифрование поддерживается, только вот опера пишет "незащищенное соединение".

http://i30.fastpic.ru/big/2012/0327/f1/05d3da96913ef71411e0ef0e102385f1.jpeg

воощем что-то начинает прояснятся. спасибо за ответы.