SecurityMetrics completó un escaneo PCI de un cliente y ahora dice que falló debido a que el certificado SSL para el puerto SMTP 25 (y POP3/IMAPS) no coincide con el dominio escaneado. Específicamente:
Descripción: Certificado SSL con nombre de host incorrecto
Sinopsis: El certificado SSL para este servicio es para un host diferente.
Impacto: el nombre común (CN) del certificado SSL presentado en este servicio es para una máquina diferente.
El servidor de correo utiliza sendmail (parcheado) y proporciona servicio de correo electrónico para varios dominios. El servidor en sí tiene un certificado SSL válido, pero no coincide con cada dominio (ya que agregamos/eliminamos dominios todo el tiempo a medida que los clientes se mueven).
Parece que SecurityMerics es el único ASV que marca esto como PCI fallido. Trustwave, McAfee, etc. no consideran que esto sea un PCI fallido.
¿Es este problema realmente una falla de PCI? ¿O es simplemente que SecuritMetrics está equivocado?
Respuesta1
Esto es lo que llaman un falso positivo. Estamos utilizando un certificado comodín, por lo que el nombre del host y el certificado no coincidirán. El nombre del certificado será el nombre comodín y el host será dominio.sudominio.com y el SSL como comodín será *.sudominio.com
Simplemente solicite a las métricas de seguridad que incluyan en la lista blanca ese error específico si está utilizando un certificado comodín.
Tendrá que conseguir que ese sea el único error para la dirección IP específica. Pueden omitir falsos positivos.