Клиент выполнил сканирование PCI с помощью SecurityMetrics, и теперь сообщается, что оно не удалось из-за того, что сертификат SSL для порта SMTP 25 (и POP3/IMAPS) не соответствует сканируемому домену. В частности:
Описание: SSL-сертификат с неверным именем хоста
Краткое описание: SSL-сертификат для этой службы предназначен для другого хоста.
Влияние: CommonName (CN) сертификата SSL, представленного в этой службе, относится к другому компьютеру.
Почтовый сервер использует sendmail (исправленный) и предоставляет услуги электронной почты для ряда доменов. Сам сервер имеет действительный сертификат SSL, но он не соответствует каждому домену (поскольку мы постоянно добавляем/удаляем домены по мере перемещения клиентов).
Кажется, SecurityMerics — единственный ASV, который отмечает это как несоответствие PCI. Trustwave, McAfee и т. д. не считают это несоответствием PCI.
Действительно ли эта проблема связана с PCI-сбоем? Или это просто SecuritMetrics ошибается?
решение1
Это то, что они называют ложным срабатыванием. Мы используем wild card сертификат, поэтому имя хоста и сертификат не будут совпадать. Имя сертификата будет wild card именем, а хост будет domain.yourdomain.com, а SSL, будучи wild card, будет *.yourdomain.com
Просто попросите метрики безопасности внести эту конкретную ошибку в белый список, если вы используете сертификат wild card.
Вам придется сделать так, чтобы это была единственная ошибка для конкретного IP-адреса. Они могут пропускать ложные срабатывания.