Ошибка сканирования PCI для SSL-сертификата с неверным именем хоста?
SecurityMetrics завершил сканирование PCI-клиента, и теперь в нем говорится, что он потерпел неудачу из-за SSL-сертификата для SMTP-порта 25 (и POP3s/IMAPS), который не соответствует сканируемому домену. В частности:
Описание: SSL-сертификат с неправильным именем хоста
Synoposis: SSL-сертификат для этой службы предназначен для другого хоста.
Воздействие. CommonName (CN) сертификата SSL, представленного в этой службе, предназначен для другого компьютера.
Почтовый сервер использует sendmail (пропатчен) и предоставляет почтовый сервис для ряда доменов. Сам сервер имеет действительный сертификат SSL, но он не соответствует каждому домену (поскольку мы добавляем / удаляем домены все время, пока клиенты перемещаются).
Кажется, SecurityMerics - единственный ASV, который помечает это как отказавший PCI. Trustwave, McAfee и т. Д.... не рассматривают это как сбой PCI.
Действительно ли эта проблема является ошибкой PCI? Или это просто SecuritMetrics не так?
1 ответ
Это то, что они называют ложным срабатыванием. Мы используем групповой сертификат, поэтому имя хоста и сертификат не будут совпадать. В качестве имени сертификата будет использоваться подстановочный знак, а хостом будет domain.yourdomain.com, а SSL в качестве подстановочного знака будет *.yourdomain.com
Просто попросите метрики безопасности внести в белый список эту конкретную ошибку, если вы используете сертификат подстановочного знака.
Вы должны будете получить это, чтобы быть единственной ошибкой для определенного IP-адреса. Они могут пропустить ложные срабатывания.