Condividi tramite


CA5359: Non disabilitare la convalida del certificato

Proprietà valore
ID regola CA5359
Title Non disabilitare la convalida del certificato
Categoria Sicurezza
La correzione causa un'interruzione o meno Non causa un'interruzione
Abilitato per impostazione predefinita in .NET 9 No

Causa

Il callback assegnato a restituisce ServicePointManager.ServerCertificateValidationCallback truesempre .

Descrizione regola

Un certificato consente di autenticare l'identità del server. I client devono convalidare il certificato del server per assicurarsi che le richieste vengano inviate al server desiderato. Se restituisce ServicePointManager.ServerCertificateValidationCallback truesempre , per impostazione predefinita qualsiasi certificato passerà la convalida per tutte le richieste HTTPS in uscita.

Come correggere le violazioni

  • Prendere in considerazione l'override della logica di convalida del certificato nelle richieste HTTPS in uscita specifiche che richiedono la convalida del certificato personalizzata, anziché eseguire l'override dell'oggetto globale ServicePointManager.ServerCertificateValidationCallback.
  • Applicare la logica di convalida personalizzata solo a nomi host e certificati specifici e verificare in caso contrario che il SslPolicyErrors valore di enumerazione sia None.

Quando eliminare gli avvisi

Se più delegati sono associati a ServerCertificateValidationCallback, viene rispettato solo il valore dell'ultimo delegato, pertanto è possibile eliminare gli avvisi da altri delegati. Tuttavia, è possibile rimuovere completamente i delegati inutilizzati.

Eliminare un avviso

Se si vuole eliminare una singola violazione, aggiungere direttive del preprocessore al file di origine per disabilitare e quindi riabilitare la regola.

#pragma warning disable CA5359
// The code that's violating the rule is on this line.
#pragma warning restore CA5359

Per disabilitare la regola per un file, una cartella o un progetto, impostarne la gravità none su nel file di configurazione.

[*.{cs,vb}]
dotnet_diagnostic.CA5359.severity = none

Per altre informazioni, vedere Come eliminare gli avvisi di analisi del codice.

Esempi di pseudo-codice

Violazione

using System.Net;

class ExampleClass
{
    public void ExampleMethod()
    {
        ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, error) => { return true; };
    }
}

Soluzione

using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;

class ExampleClass
{
    public void ExampleMethod()
    {
        ServicePointManager.ServerCertificateValidationCallback += SelfSignedForLocalhost;
    }

    private static bool SelfSignedForLocalhost(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
    {
        if (sslPolicyErrors == SslPolicyErrors.None)
        {
            return true;
        }

        // For HTTPS requests to this specific host, we expect this specific certificate.
        // In practice, you'd want this to be configurable and allow for multiple certificates per host, to enable
        // seamless certificate rotations.
        return sender is HttpWebRequest httpWebRequest
                && httpWebRequest.RequestUri.Host == "localhost"
                && certificate is X509Certificate2 x509Certificate2
                && x509Certificate2.Thumbprint == "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
                && sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors;
    }
}