Ошибка сканирования PCI для SSL-сертификата с неверным именем хоста?

SecurityMetrics завершил сканирование PCI-клиента, и теперь в нем говорится, что он потерпел неудачу из-за SSL-сертификата для SMTP-порта 25 (и POP3s/IMAPS), который не соответствует сканируемому домену. В частности:


Описание: SSL-сертификат с неправильным именем хоста

Synoposis: SSL-сертификат для этой службы предназначен для другого хоста.

Воздействие. CommonName (CN) сертификата SSL, представленного в этой службе, предназначен для другого компьютера.


Почтовый сервер использует sendmail (пропатчен) и предоставляет почтовый сервис для ряда доменов. Сам сервер имеет действительный сертификат SSL, но он не соответствует каждому домену (поскольку мы добавляем / удаляем домены все время, пока клиенты перемещаются).

Кажется, SecurityMerics - единственный ASV, который помечает это как отказавший PCI. Trustwave, McAfee и т. Д.... не рассматривают это как сбой PCI.

Действительно ли эта проблема является ошибкой PCI? Или это просто SecuritMetrics не так?

1 ответ

Это то, что они называют ложным срабатыванием. Мы используем групповой сертификат, поэтому имя хоста и сертификат не будут совпадать. В качестве имени сертификата будет использоваться подстановочный знак, а хостом будет domain.yourdomain.com, а SSL в качестве подстановочного знака будет *.yourdomain.com

Просто попросите метрики безопасности внести в белый список эту конкретную ошибку, если вы используете сертификат подстановочного знака.

Вы должны будете получить это, чтобы быть единственной ошибкой для определенного IP-адреса. Они могут пропустить ложные срабатывания.

Другие вопросы по тегам