一位客户曾接受 SecurityMetrics 的 PCI 扫描,现在它表示扫描失败,因为 SMTP 端口 25(和 POP3s/IMAPS)的 SSL 证书与扫描的域不匹配。具体来说:
描述:SSL 证书带有错误的主机名
概要:此服务的 SSL 证书适用于不同的主机。
影响:此服务上提供的 SSL 证书的 commonName (CN) 适用于不同的机器。
邮件服务器使用 sendmail(已修补)并为多个域提供电子邮件服务。服务器本身具有有效的 SSL 证书,但它并不匹配每个域(因为我们会随着客户端的移动而不断添加/删除域)。
似乎 SecurityMerics 是唯一一家将此标记为 PCI 不合格的 ASV。Trustwave、McAfee 等……并不认为此为 PCI 不合格。
这个问题真的是 PCI 故障吗?还是只是 SecuritMetrics 出错了?
答案1
这就是所谓的误报。我们使用通配符证书,因此主机名和证书将不匹配。证书名称将是通配符名称,主机将是 domain.yourdomain.com,而作为通配符的 SSL 将是 *.yourdomain.com
如果您使用通配符证书,只需要求安全指标将该特定错误列入白名单即可。
您必须将其作为特定 IP 地址的唯一错误。他们可以忽略误报。