CA5359: 証明書の検証を無効にしません
| プロパティ | 値 |
|---|---|
| ルール ID | CA5359 |
| Title | 証明書の検証を無効にしません |
| [カテゴリ] | Security |
| 修正が中断か中断なしであるか | なし |
| .NET 8 では既定で有効 | いいえ |
原因
ServicePointManager.ServerCertificateValidationCallback に割り当てられたコールバックは、常に true を返します。
規則の説明
証明書を使用すると、サーバーの ID を認証できます。 クライアントでは、サーバー証明書を検証し、要求が意図したとおりのサーバーに送信されるようにする必要があります。 ServicePointManager.ServerCertificateValidationCallback が常に true を返す場合、既定では、すべての証明書がすべての送信 HTTPS 要求に対する検証に合格します。
違反の修正方法
- グローバル ServicePointManager.ServerCertificateValidationCallback をオーバーライドするのではなく、カスタム証明書の検証を必要とする特定の送信 HTTPS 要求で証明書検証ロジックをオーバーライドすることを検討してください。
- 特定のホスト名と証明書にのみカスタム検証ロジックを適用し、それ以外の場合は SslPolicyErrors 列挙値が
Noneであることを確認します。
どのようなときに警告を抑制するか
複数のデリゲートが ServerCertificateValidationCallback にアタッチされている場合は、最後のデリゲートの値のみが考慮されるので、他のデリゲートによる警告を抑制しても問題ありません。 ただし、使用されていないデリゲート全体を削除することもできます。
警告を抑制する
単一の違反を抑制するだけの場合は、ソース ファイルにプリプロセッサ ディレクティブを追加して無効にしてから、規則をもう一度有効にします。
#pragma warning disable CA5359
// The code that's violating the rule is on this line.
#pragma warning restore CA5359
ファイル、フォルダー、またはプロジェクトの規則を無効にするには、構成ファイルでその重要度を none に設定します。
[*.{cs,vb}]
dotnet_diagnostic.CA5359.severity = none
詳細については、「コード分析の警告を抑制する方法」を参照してください。
疑似コードの例
違反
using System.Net;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => { return true; };
}
}
解決策
using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += SelfSignedForLocalhost;
}
private static bool SelfSignedForLocalhost(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true;
}
// For HTTPS requests to this specific host, we expect this specific certificate.
// In practice, you'd want this to be configurable and allow for multiple certificates per host, to enable
// seamless certificate rotations.
return sender is HttpWebRequest httpWebRequest
&& httpWebRequest.RequestUri.Host == "localhost"
&& certificate is X509Certificate2 x509Certificate2
&& x509Certificate2.Thumbprint == "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
&& sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors;
}
}
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
.NET