У клиента было завершено сканирование PCI с помощью SecurityMetrics, и теперь он сообщает, что они не удались из-за того, что сертификат SSL для SMTP-порта 25 (и POP3 / IMAPS) не соответствует сканированному домену. В частности:
Описание: SSL-сертификат с неправильным именем хоста
Обобщение: сертификат SSL для этой службы предназначен для другого хоста.
Воздействие. Общее имя (CN) сертификата SSL, представленного в этой службе, предназначено для другого компьютера.
Почтовый сервер использует sendmail (исправлен) и предоставляет почтовую службу для ряда доменов. У самого сервера есть действующий сертификат SSL, но он не соответствует каждому домену (поскольку мы добавляем / удаляем домены все время, когда клиенты перемещаются).
Кажется, SecurityMerics - единственный ASV, который помечает это как сбойный PCI. Trustwave, McAfee и т. Д. Не считают это отказом PCI.
Действительно ли эта проблема связана с ошибкой PCI? Или это просто ошибка SecuritMetrics?
Это то, что они называют ложным срабатыванием. Мы используем сертификат wild card, поэтому имя хоста и сертификат не будут совпадать. Имя сертификата будет именем подстановочного знака, хост - domain.yourdomain.com, а SSL-символом подстановки будет * .yourdomain.com.
Просто попросите метрики безопасности внести эту конкретную ошибку в белый список, если вы используете сертификат подстановки.
Это будет единственная ошибка для конкретного IP-адреса. Они могут пропускать ложные срабатывания.