클라이언트가 SecurityMetrics에 의해 PCI 스캔을 완료했는데 이제는 스캔한 도메인과 일치하지 않는 SMTP 포트 25(및 POP3s/IMAPS)에 대한 SSL 인증서로 인해 실패했다고 표시됩니다. 구체적으로:
설명: 호스트 이름이 잘못된 SSL 인증서
개요: 이 서비스의 SSL 인증서는 다른 호스트에 대한 것입니다.
영향: 이 서비스에 제공된 SSL 인증서의 commonName(CN)이 다른 컴퓨터용입니다.
메일 서버는 sendmail(패치됨)을 사용하고 여러 도메인에 이메일 서비스를 제공합니다. 서버 자체에는 유효한 SSL 인증서가 있지만 각 도메인과 일치하지 않습니다(클라이언트가 이동함에 따라 항상 도메인을 추가/제거하기 때문).
SecurityMerics가 이를 PCI 실패로 표시하는 유일한 ASV인 것 같습니다. Trustwave, McAfee 등은 이를 PCI 실패로 보지 않습니다.
이 문제가 정말 PCI 오류인가요? 아니면 SecuritMetrics가 잘못된 것일까요?
답변1
이것이 그들이 거짓 긍정(false positive)이라고 부르는 것입니다. 와일드카드 인증서를 사용하므로 호스트 이름과 인증서가 일치하지 않습니다. 인증서 이름은 와일드카드 이름이고 호스트는 domain.yourdomain.com이고 와일드카드인 SSL은 *.yourdomain.com입니다.
와일드카드 인증서를 사용하는 경우 보안 측정항목에 해당 특정 오류를 허용하도록 요청하면 됩니다.
특정 IP 주소에 대한 유일한 오류가 되도록 해야 합니다. 거짓양성을 생략할 수 있습니다.