CA5359: не отключайте проверку сертификата
| Свойство | Значение |
|---|---|
| Идентификатор правила | CA5359 |
| Заголовок | не отключайте проверку сертификатов |
| Категория | Безопасность |
| Исправление является критическим или не критическим | Не критическое |
| Включен по умолчанию в .NET 8 | No |
Причина
Обратный вызов, назначенный ServicePointManager.ServerCertificateValidationCallback, всегда возвращает true.
Описание правила
Сертификат может помочь при проверке подлинности удостоверения сервера. Клиенты должны проверить сертификат сервера, чтобы обеспечить отправку запросов на нужный сервер. Если ServicePointManager.ServerCertificateValidationCallback всегда возвращает значение true, по умолчанию любой сертификат будет проходить проверку для всех исходящих HTTPS-запросов.
Устранение нарушений
- Возможно, следует переопределить логику проверки сертификатов для конкретных исходящих HTTPS-запросов, требующих пользовательской проверки сертификата, вместо переопределения глобального ServicePointManager.ServerCertificateValidationCallback.
- Применяйте пользовательскую логику проверки только к конкретным именам узлов и сертификатам. В противном случае убедитесь, что для перечисления SslPolicyErrors задано значение
None.
Когда лучше отключить предупреждения
Если к объекту присоединяется несколько делегатов ServerCertificateValidationCallback, учитывается только значение последнего делегата, поэтому можно отключить предупреждения от других делегатов. Однако может потребоваться полностью удалить неиспользуемые делегаты.
Отключение предупреждений
Если вы просто хотите отключить одно нарушение, добавьте директивы препроцессора в исходный файл, чтобы отключить и повторно включить правило.
#pragma warning disable CA5359
// The code that's violating the rule is on this line.
#pragma warning restore CA5359
Чтобы отключить правило для файла, папки или проекта, задайте его серьезность none в файле конфигурации.
[*.{cs,vb}]
dotnet_diagnostic.CA5359.severity = none
Дополнительные сведения см. в разделе Практическое руководство. Скрытие предупреждений анализа кода.
Примеры псевдокода
Нарушение
using System.Net;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => { return true; };
}
}
Решение
using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += SelfSignedForLocalhost;
}
private static bool SelfSignedForLocalhost(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true;
}
// For HTTPS requests to this specific host, we expect this specific certificate.
// In practice, you'd want this to be configurable and allow for multiple certificates per host, to enable
// seamless certificate rotations.
return sender is HttpWebRequest httpWebRequest
&& httpWebRequest.RequestUri.Host == "localhost"
&& certificate is X509Certificate2 x509Certificate2
&& x509Certificate2.Thumbprint == "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
&& sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors;
}
}
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по