我们使用Serverscan扫描了我们的网站acbd.com,并且报告显示“此服务的SSL证书不可信任”。
我们正在使用Comodo Premium SSL通配符证书,它在我们的网站上正常运行,我们为HTTPS和RDC设置了相同的功能。但是当我们扫描我们的网站以获得PCI合规时,它就失败以下是PCI合规性扫描失败的完整详细信息:
申请:https
港口:443
协议:tcp
VATID:51192
故事梗概:
无法信任此服务的SSL证书 说明:
服务器的X.509证书没有已知的签名 公共证书机构。这种情况可能发生在三个 不同的方式,每个方式导致下面的链中断 哪些证书不可信任。
首先,服务器发送的证书链的顶部可能不会 来自已知的公共证书颁发机构。这个可以 当链的顶部是无法识别的自签名时发生 证书,或者当缺少中间证书时 将证书链的顶部连接到已知的公共证书 权威。
其次,证书链可能包含非证书 在扫描时有效。这可以在扫描时发生 发生在证书的其中一个之前' notBefore'日期或之后 证书之后' notAfter'日期。
第三,证书链可能包含签名 没有匹配证书的信息,或无法验证。 可以通过获取证书来修复错误的签名 不良签名由其发行人重新签署。签名 无法验证是证书发行人使用的结果 Nessus不支持或不支持的签名算法 认识。
如果远程主机是生产中的公共主机,那么任何中断 链条使用户更难以验证真实性 Web服务器的标识。这可以使其更容易实施 针对远程主机的中间人攻击。解决方案:
为此服务购买或生成适当的证书 CVSS基础分数:6.4
(CVSS2#AV:N / AC:L / Au的:N / C:P / I:P / A:N)
插件输出:
以下证书是证书链的一部分 由远程主机发送,但具有使用算法的签名 Nessus不承认:
我无法理解这一点。你能详细说明一下吗?据我所知,Comodo Premium SSL通配符证书不受信任。
请告知我PCI合规性测试失败的原因。为什么会显示“此服务的SSL证书不可信”?
如何通过PCI一致性测试?
答案 0 :(得分:0)
如果扫描服务失败但浏览器接受证书,则可能是:“......或者当缺少中间证书时......”。检查您的服务器是否https://www.ssllabs.com/ssltest/,您可能会获得更多信息。