Sembra che tu abbia un rapporto con "Informazioni sul certificato SSL Nome alternativo Disclosure" in lettere grandi e spaventose e non sei sicuro di cosa fare al riguardo.
Questa è una di quelle cose in cui il 90% delle volte non è un problema e puoi contrassegnarlo come un falso positivo.
Ecco come funzionano i certificati e le SAN: quando dico al mio browser di connettersi a security.stackexchange.com
, il mio browser si aspetta che il server presenti un certificato contenente questo dominio in una SAN. Se fai clic sul lucchetto, vedrai che la prima SAN è DNS Name=*.stackexchange.com
, quindi siamo a posto. In superficie non c'è niente di sbagliato in questo.
Gli strumenti dei motivi riportano avvisi di "Informazioni divulgative" per i certificati è che a volte le persone mettono più informazioni di quanto dovrebbero in un certificato. Ad esempio, se il certificato elencava i nomi host di ogni loadbalancer, sarebbe un problema perché stai dicendo agli attaccanti quali sono i singoli computer sulla tua rete.
Conclusione: dovrai esaminare quali informazioni vengono "divulgate" nella SAN e chiediti "Sono queste informazioni pubbliche che qualcuno ha bisogno di sapere per poter utilizzare il nostro sito o che fornisce via informazioni segrete sulla nostra struttura di rete interna? "