CA5359: 証明書の検証を無効にしません

[アーティクル]
09/07/2023

プロパティ	値
ルール ID	CA5359
Title	証明書の検証を無効にしません
[カテゴリ]	Security
修正が中断か中断なしであるか	なし
.NET 8 では既定で有効	いいえ

原因

ServicePointManager.ServerCertificateValidationCallback に割り当てられたコールバックは、常に true を返します。

規則の説明

証明書を使用すると、サーバーの ID を認証できます。クライアントでは、サーバー証明書を検証し、要求が意図したとおりのサーバーに送信されるようにする必要があります。 ServicePointManager.ServerCertificateValidationCallback が常に true を返す場合、既定では、すべての証明書がすべての送信 HTTPS 要求に対する検証に合格します。

違反の修正方法

グローバル ServicePointManager.ServerCertificateValidationCallback をオーバーライドするのではなく、カスタム証明書の検証を必要とする特定の送信 HTTPS 要求で証明書検証ロジックをオーバーライドすることを検討してください。
特定のホスト名と証明書にのみカスタム検証ロジックを適用し、それ以外の場合は SslPolicyErrors 列挙値が None であることを確認します。

どのようなときに警告を抑制するか

複数のデリゲートが ServerCertificateValidationCallback にアタッチされている場合は、最後のデリゲートの値のみが考慮されるので、他のデリゲートによる警告を抑制しても問題ありません。ただし、使用されていないデリゲート全体を削除することもできます。

警告を抑制する

単一の違反を抑制するだけの場合は、ソースファイルにプリプロセッサディレクティブを追加して無効にしてから、規則をもう一度有効にします。

#pragma warning disable CA5359
// The code that's violating the rule is on this line.
#pragma warning restore CA5359

ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。

[*.{cs,vb}]
dotnet_diagnostic.CA5359.severity = none

詳細については、「コード分析の警告を抑制する方法」を参照してください。

疑似コードの例

違反

using System.Net;

class ExampleClass
{
    public void ExampleMethod()
    {
        ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => { return true; };
    }
}

解決策

using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;

class ExampleClass
{
    public void ExampleMethod()
    {
        ServicePointManager.ServerCertificateValidationCallback += SelfSignedForLocalhost;
    }

    private static bool SelfSignedForLocalhost(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
    {
        if (sslPolicyErrors == SslPolicyErrors.None)
        {
            return true;
        }

        // For HTTPS requests to this specific host, we expect this specific certificate.
        // In practice, you'd want this to be configurable and allow for multiple certificates per host, to enable
        // seamless certificate rotations.
        return sender is HttpWebRequest httpWebRequest
                && httpWebRequest.RequestUri.Host == "localhost"
                && certificate is X509Certificate2 x509Certificate2
                && x509Certificate2.Thumbprint == "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
                && sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors;
    }
}