CA5359: Ne tiltsa le a tanúsítványérvényesítést
| Tulajdonság | Érték |
|---|---|
| Szabályazonosító | CA5359 |
| Cím | Ne tiltsa le a tanúsítványérvényesítést |
| Kategória | Biztonság |
| A javítás kompatibilitástörő vagy nem törik | Nem törés |
| Alapértelmezés szerint engedélyezve a .NET 8-ban | Nem |
Ok
A mindig visszaadott ServicePointManager.ServerCertificateValidationCallback visszahívás.true
Szabály leírása
A tanúsítvány segíthet a kiszolgáló identitásának hitelesítésében. Az ügyfeleknek ellenőriznie kell a kiszolgálótanúsítványt, hogy a kérések a kívánt kiszolgálóra érkezhessenek. Ha mindig ad ServicePointManager.ServerCertificateValidationCallbacktruevissza, akkor alapértelmezés szerint minden tanúsítvány megfelel az összes kimenő HTTPS-kérés érvényesítésének.
Szabálysértések kijavítása
- Figyelembe véve a tanúsítványérvényesítési logikát az egyéni tanúsítványérvényesítést igénylő kimenő HTTPS-kérelmeknél a globális ServicePointManager.ServerCertificateValidationCallbackfelülhitelesítés helyett.
- Egyéni érvényesítési logikát csak adott gazdagépnevekre és tanúsítványokra alkalmazhat, és ellenkező esetben ellenőrizze, hogy az SslPolicyErrors enumerálás értéke .
None
Mikor kell letiltani a figyelmeztetéseket?
Ha több meghatalmazott van csatolva ServerCertificateValidationCallback, csak az utolsó meghatalmazott értékeit tartja tiszteletben a rendszer, így nyugodtan letilthatja a többi meghatalmazott figyelmeztetéseit. Előfordulhat azonban, hogy teljesen el szeretné távolítani a fel nem használt meghatalmazottakat.
Figyelmeztetés mellőzése
Ha csak egyetlen szabálysértést szeretne letiltani, adjon hozzá előfeldolgozási irányelveket a forrásfájlhoz a szabály letiltásához és újbóli engedélyezéséhez.
#pragma warning disable CA5359
// The code that's violating the rule is on this line.
#pragma warning restore CA5359
Ha le szeretné tiltani egy fájl, mappa vagy projekt szabályát, állítsa annak súlyosságát none a konfigurációs fájlban.
[*.{cs,vb}]
dotnet_diagnostic.CA5359.severity = none
További információ: Kódelemzési figyelmeztetések letiltása.
Példák pszeudokódokra
Megsértése
using System.Net;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => { return true; };
}
}
Megoldás
using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;
class ExampleClass
{
public void ExampleMethod()
{
ServicePointManager.ServerCertificateValidationCallback += SelfSignedForLocalhost;
}
private static bool SelfSignedForLocalhost(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true;
}
// For HTTPS requests to this specific host, we expect this specific certificate.
// In practice, you'd want this to be configurable and allow for multiple certificates per host, to enable
// seamless certificate rotations.
return sender is HttpWebRequest httpWebRequest
&& httpWebRequest.RequestUri.Host == "localhost"
&& certificate is X509Certificate2 x509Certificate2
&& x509Certificate2.Thumbprint == "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
&& sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors;
}
}
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: