SecurityMetrics によってクライアントの PCI スキャンが完了しましたが、SMTP ポート 25 (および POP3s/IMAPS) の SSL 証明書がスキャンされたドメインと一致しないために失敗したと表示されます。具体的には、次のようになります。
説明: ホスト名が間違っている SSL 証明書
概要: このサービスの SSL 証明書は別のホスト用です。
影響: このサービスで提示された SSL 証明書の commonName (CN) は別のマシンのものです。
メール サーバーは sendmail (パッチ適用済み) を使用し、多数のドメインに電子メール サービスを提供します。サーバー自体には有効な SSL 証明書がありますが、各ドメインと一致していません (クライアントの移動に伴い、ドメインが常に追加/削除されるため)。
SecurityMerics は、これを PCI 不合格としてマークする唯一の ASV のようです。Trustwave、McAfee などは、これを PCI 不合格とは見なしません。
この問題は本当に PCI の失敗なのでしょうか? それとも、SecuritMetrics が間違っているだけなのでしょうか?
答え1
これはいわゆる誤検知です。ワイルドカード証明書を使用しているため、ホスト名と証明書は一致しません。証明書名はワイルドカード名になり、ホストはdomain.yourdomain.comになり、ワイルドカードであるSSLは*.yourdomain.comになります。
ワイルドカード証明書を使用している場合は、セキュリティ メトリックにその特定のエラーをホワイトリストに登録するように依頼するだけです。
特定の IP アドレスに対して、それが唯一のエラーになるようにする必要があります。誤検知は省略できます。