Ein Client hat einen PCI-Scan von SecurityMetrics durchführen lassen und nun heißt es, dieser sei fehlgeschlagen, weil das SSL-Zertifikat für den SMTP-Port 25 (und POP3s/IMAPS) nicht mit der gescannten Domäne übereinstimmt. Genauer gesagt:
Beschreibung: SSL-Zertifikat mit falschem Hostnamen
Zusammenfassung: Das SSL-Zertifikat für diesen Dienst ist für einen anderen Host.
Auswirkung: Der CommonName (CN) des auf diesem Dienst angezeigten SSL-Zertifikats ist für eine andere Maschine.
Der Mailserver verwendet sendmail (gepatcht) und stellt E-Mail-Dienste für eine Reihe von Domänen bereit. Der Server selbst verfügt über ein gültiges SSL-Zertifikat, das jedoch nicht mit jeder Domäne übereinstimmt (da wir ständig Domänen hinzufügen/entfernen, wenn die Kunden wechseln).
SecurityMerics scheint der einzige ASV zu sein, der dies als PCI-Fehler kennzeichnet. Trustwave, McAfee usw. sehen dies nicht als PCI-Fehler.
Handelt es sich bei diesem Problem tatsächlich um einen PCI-Fehler? Oder liegt SecuritMetrics einfach falsch?
Antwort1
Dies nennt man einen falschen Positivbefund. Wir verwenden ein Wildcard-Zertifikat, daher stimmen Hostname und Zertifikat nicht überein. Der Zertifikatsname ist der Wildcard-Name und der Host wäre domain.yourdomain.com und das SSL als Wildcard wäre *.yourdomain.com
Bitten Sie die Sicherheitsmetriken einfach, diesen bestimmten Fehler auf die Whitelist zu setzen, wenn Sie ein Wildcard-Zertifikat verwenden.
Sie müssen dafür sorgen, dass dies der einzige Fehler für die jeweilige IP-Adresse ist. Sie können Fehlalarme auslassen.