Um cliente teve uma verificação de PCI concluída pela SecurityMetrics e agora diz que falhou devido ao certificado SSL para a porta SMTP 25 (e POP3s/IMAPS) não corresponder ao domínio verificado. Especificamente:
Descrição: Certificado SSL com nome de host errado
Sinopse: O certificado SSL para este serviço é para um host diferente.
Impacto: O commonName (CN) do certificado SSL apresentado neste serviço é para uma máquina diferente.
O servidor de e-mail usa sendmail (corrigido) e fornece serviço de e-mail para vários domínios. O próprio servidor possui um certificado SSL válido, mas não corresponde a cada domínio (já que adicionamos/removemos domínios o tempo todo à medida que os clientes se movimentam).
Parece que SecurityMerics é o único ASV que marca isso como falha no PCI. Trustwave, McAfee, etc... não veem isso como uma falha no PCI.
Este problema é realmente uma falha do PCI? Ou é apenas a SecuritMetrics que está errada?
Responder1
Isso é o que eles chamam de falso positivo. Estamos usando um certificado curinga, portanto, o nome do host e o certificado não corresponderão. O nome do certificado será o nome curinga e o host será domínio.seudomínio.com e o SSL sendo um curinga será *.seudomínio.com
Basta pedir às métricas de segurança para colocar esse erro específico na lista de permissões se você estiver usando um certificado curinga.
Você terá que fazer com que esse seja o único erro para o endereço IP específico. Eles podem omitir falsos positivos.