Certificato SSL Oggetto Nome alternativo Informazioni personali

-1

Sarei grato se qualcuno potesse far luce sui risultati del soggetto.

Si tratta di un problema di sicurezza con bank.com visualizzato sulla SAN?

Il nome host è stato rilevato nel Subject Alternative Name (SAN) del certificato presentato dal servizio.

    
posta Shabir 10.10.2018 - 21:19
fonte

1 risposta

2

Sembra che tu abbia un rapporto con "Informazioni sul certificato SSL Nome alternativo Disclosure" in lettere grandi e spaventose e non sei sicuro di cosa fare al riguardo.

Questa è una di quelle cose in cui il 90% delle volte non è un problema e puoi contrassegnarlo come un falso positivo.

Ecco come funzionano i certificati e le SAN: quando dico al mio browser di connettersi a security.stackexchange.com , il mio browser si aspetta che il server presenti un certificato contenente questo dominio in una SAN. Se fai clic sul lucchetto, vedrai che la prima SAN è DNS Name=*.stackexchange.com , quindi siamo a posto. In superficie non c'è niente di sbagliato in questo.

Gli strumenti dei motivi riportano avvisi di "Informazioni divulgative" per i certificati è che a volte le persone mettono più informazioni di quanto dovrebbero in un certificato. Ad esempio, se il certificato elencava i nomi host di ogni loadbalancer, sarebbe un problema perché stai dicendo agli attaccanti quali sono i singoli computer sulla tua rete.

Conclusione: dovrai esaminare quali informazioni vengono "divulgate" nella SAN e chiediti "Sono queste informazioni pubbliche che qualcuno ha bisogno di sapere per poter utilizzare il nostro sito o che fornisce via informazioni segrete sulla nostra struttura di rete interna? "

    
risposta data 10.10.2018 - 23:22
fonte

Leggi altre domande sui tag