CA5359: Não desabilitar a validação de certificado
| Property | Valor |
|---|---|
| ID da regra | CA5359 |
| Título | Não desabilitar a validação de certificado |
| Categoria | Segurança |
| Correção interruptiva ou sem interrupção | Sem interrupção |
| Habilitado por padrão no .NET 8 | Não |
Causa
O retorno de chamada atribuído a ServicePointManager.ServerCertificateValidationCallback sempre retorna true.
Descrição da regra
Um certificado pode ajudar a autenticar a identidade do servidor. Os clientes devem validar o certificado do servidor para garantir que as solicitações sejam enviadas ao servidor desejado. Se ServicePointManager.ServerCertificateValidationCallback sempre retornar true, por padrão, qualquer certificado passará na validação para todas as solicitações HTTPS de saída.
Como corrigir violações
- Considerando substituir a lógica de validação de certificado nas solicitações HTTPS de saída específicas que exigem validação de certificado personalizada, em vez de substituir ServicePointManager.ServerCertificateValidationCallback global.
- Aplique a lógica de validação personalizada apenas a nomes de host e certificados específicos e verifique se o valor de enumereção SslPolicyErrors é
None.
Quando suprimir avisos
Se vários delegados estiverem anexados a ServerCertificateValidationCallback, apenas o valor do último delegado será respeitado, portanto, é seguro suprimir avisos de outros delegados. No entanto, é conveniente remover totalmente os delegados não utilizados.
Suprimir um aviso
Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.
#pragma warning disable CA5359
// The code that's violating the rule is on this line.
#pragma warning restore CA5359
Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA5359.severity = none
Para obter mais informações, confira Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação
using System.Net;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => { return true; };
}
}
Solução
using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += SelfSignedForLocalhost;
}
private static bool SelfSignedForLocalhost(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true;
}
// For HTTPS requests to this specific host, we expect this specific certificate.
// In practice, you'd want this to be configurable and allow for multiple certificates per host, to enable
// seamless certificate rotations.
return sender is HttpWebRequest httpWebRequest
&& httpWebRequest.RequestUri.Host == "localhost"
&& certificate is X509Certificate2 x509Certificate2
&& x509Certificate2.Thumbprint == "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
&& sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors;
}
}
