CA5397: Não usar valores de SslProtocols preteridos
| Property | Valor |
|---|---|
| ID da regra | CA5397 |
| Título | Não usar valores de SslProtocols preteridos |
| Categoria | Segurança |
| Correção interruptiva ou sem interrupção | Sem interrupção |
| Habilitado por padrão no .NET 8 | Não |
Causa
Essa regra será acionada quando uma das seguintes condições for atendida:
- Um valor System.Security.Authentication.SslProtocols preterido foi referenciado.
- Um valor inteiro representando um valor obsoleto foi atribuído a uma variável SslProtocols, usado como um valor de retorno SslProtocols ou como um argumento SslProtocols.
Os valores preteridos são:
- Ssl2
- Ssl3
- Tls
- Tls10
- Tls11
Descrição da regra
O TLS (protocolo TLS) protege a comunicação entre computadores, mais comumente com o HTTPS (protocolo HTTPS). Versões mais antigas do protocolo TLS são menos seguras do que o TLS 1.2 e o TLS 1.3 e mais propensas a terem novas vulnerabilidades. Evite versões de protocolo mais antigas para minimizar o risco. Para obter as diretrizes sobre como identificar e remover as versões do protocolo obsoletas, consulte Solucionar o problema do TLS 1.0, 2ª edição.
Como corrigir violações
Não use versões do protocolo TLS preteridas.
Quando suprimir avisos
Você poderá suprimir esse aviso se:
- A referência à versão do protocolo preterida não estiver sendo usada para habilitar uma versão preterida.
- Você precisar conectar um serviço herdado que não pode ser atualizado para usar as configurações do TLS seguras.
Suprimir um aviso
Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.
#pragma warning disable CA5397
// The code that's violating the rule is on this line.
#pragma warning restore CA5397
Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.
[*.{cs,vb}]
dotnet_diagnostic.CA5397.severity = none
Para obter mais informações, confira Como suprimir avisos de análise de código.
Exemplos de pseudocódigo
Violação de nome da enumeração
using System;
using System.Security.Authentication;
public class ExampleClass
{
public void ExampleMethod()
{
// CA5397 violation for using Tls11
SslProtocols protocols = SslProtocols.Tls11 | SslProtocols.Tls12;
}
}
Imports System
Imports System.Security.Authentication
Public Class TestClass
Public Sub ExampleMethod()
' CA5397 violation for using Tls11
Dim sslProtocols As SslProtocols = SslProtocols.Tls11 Or SslProtocols.Tls12
End Sub
End Class
Violação do valor inteiro
using System;
using System.Security.Authentication;
public class ExampleClass
{
public void ExampleMethod()
{
// CA5397 violation
SslProtocols sslProtocols = (SslProtocols) 768; // TLS 1.1
}
}
Imports System
Imports System.Security.Authentication
Public Class TestClass
Public Sub ExampleMethod()
' CA5397 violation
Dim sslProtocols As SslProtocols = CType(768, SslProtocols) ' TLS 1.1
End Sub
End Class
Solução
using System;
using System.Security.Authentication;
public class TestClass
{
public void Method()
{
// Let the operating system decide what TLS protocol version to use.
// See https://learn.microsoft.com/dotnet/framework/network-programming/tls
SslProtocols sslProtocols = SslProtocols.None;
}
}
Imports System
Imports System.Security.Authentication
Public Class TestClass
Public Sub ExampleMethod()
' Let the operating system decide what TLS protocol version to use.
' See https://learn.microsoft.com/dotnet/framework/network-programming/tls
Dim sslProtocols As SslProtocols = SslProtocols.None
End Sub
End Class
Regras relacionadas
CA5364: Não use protocolos de segurança preteridos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de