Falha na varredura PCI para o certificado SSL com nome de host incorreto?

Question

Falha na varredura PCI para o certificado SSL com nome de host incorreto?

#1 resposta do (1 votos)

1

Um cliente tinha uma varredura PCI concluída pela SecurityMetrics e agora diz que eles falharam devido ao certificado SSL da porta SMTP 25 (e POP3s / IMAPS) não corresponder ao domínio verificado. Especificamente:

Descrição: certificado SSL com nome de host errado

Sinopse: O certificado SSL para este serviço é para um host diferente.

Impacto: o commonName (CN) do certificado SSL apresentado neste serviço é para uma máquina diferente.

O servidor de email usa o sendmail (corrigido) e fornece serviço de email para vários domínios. O próprio servidor tem um certificado SSL válido, mas não corresponde a cada domínio (à medida que adicionamos / removemos domínios o tempo todo enquanto os clientes se movimentam).

Parece que o SecurityMerics é o único ASV que marca isso como falha de PCI. Trustwave, McAfee, etc ... não vejo isso como falha PCI.

Este problema é realmente uma falha do PCI? Ou será que apenas a SecuritMetrics está errada?

nessus ssl-certificate pci-dss

por Rob Mangiafico 29.08.2012 / 04:32

1 resposta

Tags nessus ssl-certificate pci-dss

Permissão de pasta do servidor da Web Apache no Windows7 O que esse erro significa (não é possível criar o soquete TCP / IP (24))?

score 1 · Answer 1

Isso é o que eles chamam de falso positivo. Estamos usando um certificado curinga, portanto, o nome do host e o certificado não corresponderão. O nome do certificado será o nome do curinga e o host será domínio.seudominio.com e o SSL, sendo um curinga, será * .seudominio.com.br

Basta solicitar que as métricas de segurança adicionem esse erro específico à lista de permissões se você estiver usando um certificado de curinga.

Você terá que fazer com que seja o único erro para o endereço IP específico. Eles podem omitir falsos positivos.