Falha na varredura PCI para o certificado SSL com nome de host incorreto?

1

Um cliente tinha uma varredura PCI concluída pela SecurityMetrics e agora diz que eles falharam devido ao certificado SSL da porta SMTP 25 (e POP3s / IMAPS) não corresponder ao domínio verificado. Especificamente:

Descrição: certificado SSL com nome de host errado

Sinopse: O certificado SSL para este serviço é para um host diferente.

Impacto: o commonName (CN) do certificado SSL apresentado neste serviço é para uma máquina diferente.

O servidor de email usa o sendmail (corrigido) e fornece serviço de email para vários domínios. O próprio servidor tem um certificado SSL válido, mas não corresponde a cada domínio (à medida que adicionamos / removemos domínios o tempo todo enquanto os clientes se movimentam).

Parece que o SecurityMerics é o único ASV que marca isso como falha de PCI. Trustwave, McAfee, etc ... não vejo isso como falha PCI.

Este problema é realmente uma falha do PCI? Ou será que apenas a SecuritMetrics está errada?

    
por Rob Mangiafico 29.08.2012 / 04:32

1 resposta

1

Isso é o que eles chamam de falso positivo. Estamos usando um certificado curinga, portanto, o nome do host e o certificado não corresponderão. O nome do certificado será o nome do curinga e o host será domínio.seudominio.com e o SSL, sendo um curinga, será * .seudominio.com.br

Basta solicitar que as métricas de segurança adicionem esse erro específico à lista de permissões se você estiver usando um certificado de curinga.

Você terá que fazer com que seja o único erro para o endereço IP específico. Eles podem omitir falsos positivos.

    
por 02.04.2013 / 19:05