Potencial falso positivo al escanear una red con Nexpose - Falta de coincidencia del certificado X509 [cerrado]

Navega tus respuestas
3

Poco de contexto, estamos viendo esto encontrando mucho. Utilizamos certificados comodín en sitios web públicos.

El hallazgo se titula:

  

"El CN del sujeto del certificado X.509 no coincide con el nombre de la entidad"

A continuación, he agregado más detalles sobre el informe sobre el hallazgo del escaneo (en Cotizaciones en bloque) y he proporcionado mis comentarios debajo. Espero que alguien con más experiencia pueda proporcionar comentarios para garantizar que mi proceso de pensamiento sea válido y que, de hecho, sea un falso positivo.

De la investigación y la revisión de los indicadores, creo que es un falso positivo por los siguientes motivos (tenga en cuenta que he cambiado el nombre de dominio):

  

El sujeto CN * .somedomain.com no coincide con el nombre de destino especificado en el sitio.

Sitio se refiere al nombre dado al activo dentro de la configuración de escaneo. En este caso, todos los activos son escaneados por su dirección IP. La dirección IP no coincide con la CN.

  

El sujeto CN * .somedomain.com no se pudo resolver en una dirección IP a través de la búsqueda de DNS

Dado que se utilizan certificados de comodín, el dominio de comodín no se resolverá con una búsqueda de DNS.

  

Nombre alternativo del sujeto * .somedomain.com no coincide con el nombre de destino especificado en el sitio.

La dirección IP no aparece como un nombre alternativo. No hay coincidencia.

  

Nombre alternativo del sujeto somedomain.com no coincide con el nombre de destino especificado en el sitio.

Una vez más, la IP no aparece en la lista y, por lo tanto, no coincidirá con el nombre de dominio.

Tenga en cuenta que si alguna vez se visita el sitio desde una URL válida, por ejemplo, client1.mydomain.com, el certficate es válido y funciona como se esperaba. Simplemente creo que esto se debe principalmente a las razones enumeradas anteriormente y dada la naturaleza de los certificados comodín.

Cualquier comentario que se aprecie, y también si hay otros métodos, puedo verificar la validez para brindar seguridad a mi equipo sería muy apreciado.

Gracias por tu aporte.

    
pregunta user146316 24.01.2018 - 21:04
fuente

1 respuesta

1

Si pretende acceder a su sitio a través de (por ejemplo) la IP 192.168.1.1, entonces deberá tener esa misma IP en el certificado.

Es decir, dentro de las secciones "Nombre común" y / o "Nombre alternativo del sujeto".

De lo contrario, no será válido acceder a través de esa IP.

Pero si no planea acceder alguna vez a través de esa IP, entonces no necesita la IP dentro del certificado. Y tampoco tienes que preocuparte por la advertencia del escáner. - La advertencia es el resultado esperado en este caso. (Vea este búsqueda de SSL para la IP de "example.com" . También tiene una advertencia que dice "El certificado no coincide con el nombre de host". Y con razón, ya que la IP no está incluida en el certificado.)

    
respondido por el StackzOfZtuff 26.01.2018 - 15:16
fuente

Lea otras preguntas en las etiquetas

Cómo generar un certificado autofirmado para S / MIME solo con 'firma' de uso, al igual que los usos del DOD Actualizar tokens con SPAs