Meu cliente está tendo seu website validado para aceitar pagamentos com cartão no site, e uma das falhas é que estamos vazando o endereço IP interno, mas estamos usando o IIS 7.0, o que achei que não fizesse isso.
Eu mesmo verifiquei os cabeçalhos e não consigo ver onde está o problema:
HTTP/1.1 302 Found
Content-Type: text/html
Location: https://www.pirform.co.uk/Purchase.aspx
Server: Microsoft-IIS/7.0
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT
Content-Length: 156
HTTP/1.1 200 OK
Cache-Control: private
Content-Type: text/html
Server: Microsoft-IIS/7.0
Set-Cookie: ASP.NET_SessionId=n4cf1m3qmmocof45bxwpwe55
X-AspNet-Version: 2.0.50727
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT
Content-Length: 12015
Alguma idéia sobre o que eles poderiam estar falando?
Ok, o problema é que no IIS não havia cabeçalho de host especificado para o protocolo HTTPS (443), então uma vez que eu adicionei isso, tudo bem.
Alterar a configuração foi um pouco complicado, como para certs de domínio único o IIS não permite que você especifique um cabeçalho de host, então você precisa ir para a CA no servidor, dar ao certificado um nome amigável que comece com um asterisco e o IIS permitirá que você especifique o cabeçalho do host.
Há uma tonelada de lugares que podem vazar, possivelmente até no aplicativo. Quais são os resultados da verificação? Sem mais conhecimento sobre sua infraestrutura ou mais detalhes sobre como eles provaram que estava falhando, será difícil responder à sua pergunta.
Tags amazon-ec2 iis-7 pci-dss