用戶端由 SecurityMetrics 完成了 PCI 掃描,現在顯示掃描失敗,因為 SMTP 連接埠 25(和 POP3s/IMAPS)的 SSL 憑證與掃描的網域不符。具體來說:
說明:SSL 憑證主機名稱錯誤
摘要:此服務的 SSL 憑證適用於不同的主機。
影響:此服務上提供的 SSL 憑證的 commonName (CN) 適用於另一台電腦。
郵件伺服器使用sendmail(已修補)並為多個網域提供電子郵件服務。伺服器本身俱有有效的 SSL 證書,但它與每個網域不匹配(因為我們隨著客戶端的移動而一直添加/刪除網域)。
看來 SecurityMerics 是唯一將其標記為失敗 PCI 的 ASV。 Trustwave、McAfee 等...不認為這是 PCI 失敗。
這個問題真的是 PCI 故障嗎?還是只是 SecuritMetrics 出錯了?
答案1
這就是他們所說的誤報。我們使用通配符證書,因此主機名稱和證書將不符。憑證名稱將是通配符名稱,主機將是domain.yourdomain.com,SSL 作為通配符將是*.yourdomain.com
如果您使用的是通配符證書,只需要求安全指標將特定錯誤列入白名單即可。
您必須將其作為特定 IP 位址的唯一錯誤。他們可以忽略誤報。