CA5364: Kullanım dışı bırakılan güvenlik protokollerini kullanmayın
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5364 |
| Başlık | Kullanım Dışı Güvenlik Protokollerini Kullanmayın |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 9'da varsayılan olarak etkin | Hayır |
Neden
Bu kural, aşağıdaki koşullardan biri karşılandığında tetiklenir:
- Kullanım dışı bırakılmış bir değere System.Net.SecurityProtocolType başvuruldu.
- Bir değişkene kullanım dışı bırakılmış bir değeri temsil eden bir SecurityProtocolType tamsayı değeri atandı.
Kullanım dışı bırakılan değerler şunlardır:
- Ssl3
- Tls
- Tls10
- Tls11
Kural açıklaması
Aktarım Katmanı Güvenliği (TLS), çoğunlukla Köprü Metni Aktarım Protokolü Güvenli (HTTPS) ile bilgisayarlar arasındaki iletişimin güvenliğini sağlar. TLS'nin eski protokol sürümleri TLS 1.2 ve TLS 1.3'ten daha az güvenlidir ve yeni güvenlik açıklarına sahip olma olasılığı daha yüksektir. Riski en aza indirmek için eski protokol sürümlerinden kaçının. Kullanım dışı bırakılan protokol sürümlerini tanımlama ve kaldırma yönergeleri için bkz . TLS 1.0 Sorununu Çözme, 2. Sürüm.
İhlalleri düzeltme
Kullanım dışı bırakılan TLS protokolü sürümlerini kullanmayın.
Uyarıların ne zaman bastırılması gerekiyor?
Şu durumda bu uyarıyı gizleyebilirsiniz:
- Kullanım dışı bırakılmış bir sürümü etkinleştirmek için kullanım dışı bırakılmış protokol sürümüne başvuru kullanılmıyor.
- Güvenli TLS yapılandırmalarını kullanmak için yükseltilmeyen eski bir hizmete bağlanmanız gerekir.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5364
// The code that's violating the rule is on this line.
#pragma warning restore CA5364
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini none olarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5364.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
Numaralandırma adı ihlali
using System;
using System.Net;
public class ExampleClass
{
public void ExampleMethod()
{
// CA5364 violation
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;
}
}
Imports System
Imports System.Net
Public Class TestClass
Public Sub ExampleMethod()
' CA5364 violation
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 Or SecurityProtocolType.Tls12
End Sub
End Class
Tamsayı değeri ihlali
using System;
using System.Net;
public class ExampleClass
{
public void ExampleMethod()
{
// CA5364 violation
ServicePointManager.SecurityProtocol = (SecurityProtocolType) 768; // TLS 1.1
}
}
Imports System
Imports System.Net
Public Class TestClass
Public Sub ExampleMethod()
' CA5364 violation
ServicePointManager.SecurityProtocol = CType(768, SecurityProtocolType) ' TLS 1.1
End Sub
End Class
Çözüm
using System;
using System.Net;
public class TestClass
{
public void TestMethod()
{
// Let the operating system decide what TLS protocol version to use.
// See https://learn.microsoft.com/dotnet/framework/network-programming/tls
}
}
Imports System
Imports System.Net
Public Class TestClass
Public Sub ExampleMethod()
' Let the operating system decide what TLS protocol version to use.
' See https://learn.microsoft.com/dotnet/framework/network-programming/tls
End Sub
End Class
İlgili kurallar
CA5386: SecurityProtocolType değerini sabit kodlamaktan kaçının
CA5397: Kullanım dışı bırakılmış SslProtocols değerlerini kullanmayın
