Compartilhar via

CA5397: Não usar valores de SslProtocols preteridos

  • Artigo
Property Valor
ID da regra CA5397
Título Não usar valores de SslProtocols preteridos
Categoria Segurança
Correção interruptiva ou sem interrupção Sem interrupção
Habilitado por padrão no .NET 9 Não

Causa

Essa regra será acionada quando uma das seguintes condições for atendida:

Os valores preteridos são:

  • Ssl2
  • Ssl3
  • Tls
  • Tls10
  • Tls11

Descrição da regra

O TLS (protocolo TLS) protege a comunicação entre computadores, mais comumente com o HTTPS (protocolo HTTPS). Versões mais antigas do protocolo TLS são menos seguras do que o TLS 1.2 e o TLS 1.3 e mais propensas a terem novas vulnerabilidades. Evite versões de protocolo mais antigas para minimizar o risco. Para obter as diretrizes sobre como identificar e remover as versões do protocolo obsoletas, consulte Solucionar o problema do TLS 1.0, 2ª edição.

Como corrigir violações

Não use versões do protocolo TLS preteridas.

Quando suprimir avisos

Você poderá suprimir esse aviso se:

  • A referência à versão do protocolo preterida não estiver sendo usada para habilitar uma versão preterida.
  • Você precisar conectar um serviço herdado que não pode ser atualizado para usar as configurações do TLS seguras.

Suprimir um aviso

Para suprimir apenas uma violação, adicione diretivas de pré-processador ao arquivo de origem a fim de desabilitar e, em seguida, reabilitar a regra.

#pragma warning disable CA5397
// The code that's violating the rule is on this line.
#pragma warning restore CA5397

Para desabilitar a regra em um arquivo, uma pasta ou um projeto, defina a severidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5397.severity = none

Para obter mais informações, confira Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

Violação de nome da enumeração

using System;
using System.Security.Authentication;

public class ExampleClass
{
    public void ExampleMethod()
    {
        // CA5397 violation for using Tls11
        SslProtocols protocols = SslProtocols.Tls11 | SslProtocols.Tls12;
    }
}

Imports System
Imports System.Security.Authentication

Public Class TestClass
    Public Sub ExampleMethod()
        ' CA5397 violation for using Tls11
        Dim sslProtocols As SslProtocols = SslProtocols.Tls11 Or SslProtocols.Tls12
    End Sub
End Class

Violação do valor inteiro

using System;
using System.Security.Authentication;

public class ExampleClass
{
    public void ExampleMethod()
    {
        // CA5397 violation
        SslProtocols sslProtocols = (SslProtocols) 768;    // TLS 1.1
    }
}

Imports System
Imports System.Security.Authentication

Public Class TestClass
    Public Sub ExampleMethod()
        ' CA5397 violation
        Dim sslProtocols As SslProtocols = CType(768, SslProtocols)   ' TLS 1.1
    End Sub
End Class

Solução

using System;
using System.Security.Authentication;

public class TestClass
{
    public void Method()
    {
        // Let the operating system decide what TLS protocol version to use.
        // See https://learn.microsoft.com/dotnet/framework/network-programming/tls
        SslProtocols sslProtocols = SslProtocols.None;
    }
}

Imports System
Imports System.Security.Authentication

Public Class TestClass
    Public Sub ExampleMethod()
        ' Let the operating system decide what TLS protocol version to use.
        ' See https://learn.microsoft.com/dotnet/framework/network-programming/tls
        Dim sslProtocols As SslProtocols = SslProtocols.None
    End Sub
End Class

CA5364: Não use protocolos de segurança preteridos

CA5386: Evitar codificar o valor SecurityProtocolType

CA5398: Evitar valores de SslProtocols fixos