Estamos no processo de tornar nosso site compatível com PCI. Uma das vulnerabilidades que enfrentamos é a seguinte.
Description: SSL Version 2 (v2) Protocol Detection (for ftp)
Synopsis: The remote service encrypts traffic using a protocol with known weaknesses.
Resolution: Purchase or generate a proper certificate for this service.
Outro é como abaixo (o programa é novamente FTP)
Description: SSL Certificate Cannot Be Trusted
Synopsis: The SSL certificate for this service cannot be trusted.
Resolution: Purchase or generate a proper certificate for this service.
Depois de estudar as coisas, acho que precisamos adquirir um certificado SSL para FTP. Agora eu tenho algumas perguntas
1) When I try to purchase an SSL certificate for FTP there is no option for SSL
certificate specific for FTP. So which should we buy? I know this might
depend on my security company (like Thwate, Verisign etc..) but if possible
then can someone give an example?
2) Our site does have HTTP SSL and it is installed perfectly and working
perfectly so will the same certificate (HTTP SSL Certificate)
work for FTP too??
3) Which should we configure here, FTPS or SFTP?
Responder1
1)Você pode comprar um certificado de servidor Web, ele funcionará.
2)Se o CN (blog.domain.com) for o mesmo, funcionará.
3)FTPS e SFTP não são iguais:
- FTPS é FTP sobre SSL/TLS.
- SFTP é FTP sobre SSH.
No seu caso, é FTP(S).