Un client a fait réaliser une analyse PCI par SecurityMetrics, qui indique maintenant que l'analyse a échoué parce que le certificat SSL pour le port SMTP 25 (et POP3s/IMAPS) ne correspond pas au domaine analysé. Plus précisément :
Description : Certificat SSL avec un nom d'hôte incorrect
Synoptique : Le certificat SSL pour ce service est celui d'un autre hôte.
Impact : Le nom commun (CN) du certificat SSL présenté sur ce service correspond à une machine différente. présenté sur ce service correspond à une machine différente.
Le serveur de messagerie utilise sendmail (patché) et fournit un service de messagerie pour un certain nombre de domaines. Le serveur lui-même possède un certificat SSL valide, mais il ne correspond pas à chaque domaine (car nous ajoutons/supprimons des domaines en permanence en fonction des déplacements des clients).
Il semble que SecurityMerics soit le seul ASV à considérer que ce système n'est pas conforme à la norme PCI. Trustwave, McAfee, etc... ne le considèrent pas comme un échec à PCI.
S'agit-il vraiment d'une défaillance de la carte PCI ? Ou s'agit-il simplement d'une erreur de SecuritMetrics ?
