web-dev-qa-db-ja.com

ホスト名が間違っているSSL証明書のPCIスキャンに失敗しましたか?

クライアントのPCIスキャンがSecurityMetricsによって完了しましたが、SMTPポート25(およびPOP3/IMAPS)のSSL証明書がスキャンされたドメインと一致しないために失敗したと表示されます。具体的には:


説明:ホスト名が間違っているSSL証明書

概要:このサービスのSSL証明書は別のホスト用です。

影響:このサービスで提示されるSSL証明書のcommonName(CN)は、別のマシン用です。


メールサーバーはsendmail(パッチを適用)を使用し、多くのドメインに電子メールサービスを提供します。サーバー自体には有効なSSL証明書がありますが、各ドメインとは一致しません(クライアントが移動するたびにドメインを追加/削除するため)。

SecurityMericsは、これをPCIの失敗としてマークする唯一のASVのようです。 Trustwave、McAfeeなど...これをPCIの失敗とは見なしません。

この問題は本当にPCI障害ですか?それとも、SecuritMetricsが間違っているだけですか?

1
Rob Mangiafico

これは彼らが誤検知と呼んでいるものです。ワイルドカード証明書を使用しているため、ホスト名と証明書が一致しません。証明書名はワイルドカード名になり、ホストはdomain.yourdomain.comになり、ワイルドカードであるSSLは* .yourdomain.comになります。

ワイルドカード証明書を使用している場合は、セキュリティメトリックにその特定のエラーをホワイトリストに登録するように依頼するだけです。

特定のIPアドレスの唯一のエラーになるようにする必要があります。誤検知を省略できます。

1
Ryan