客户端进行了由SecurityMetrics完成的PCI扫描,现在由于SMTP端口25(和POP3s / IMAPS)的SSL证书与扫描的域不匹配而导致失败。 特别:
说明:具有错误主机名的SSL证书
Synoposis:此服务的SSL证书适用于不同的主机。
影响:此服务上提供的SSL证书的commonName(CN)是针对其他计算机的。
邮件服务器使用sendmail(已打补丁)并为多个域提供电子邮件服务。 服务器本身有一个有效的SSL证书,但它不匹配每个域(因为随着客户端移动,我们随时添加/删除域)。
似乎SecurityMerics是唯一一个标志为失败的PCI的ASV。 Trustwave,McAfee等等,不要把这看成是失败的PCI。
这个问题真的是PCI故障吗? 还是只是SecuritMetrics被错误?
这就是他们所说的误报。 我们使用通配符证书,因此主机名和证书不匹配。 证书名称将是通配符名称,主机将是domain.yourdomain.com,SSL是通配符将是* .yourdomain.com
如果您使用通配符证书,只需询问安全性指标即可将该特定错误列入白名单。
您将必须得到这是特定的IP地址唯一的错误。 他们可以省略误报。