SSL证书-签名验证失败漏洞

Question

我们在我们的网站上进行了PCI DSS外部漏洞扫描，扫描失败了，有许多漏洞，所有这些漏洞都是PCI严重性:除了一个介质和另一个高度之外，其他漏洞都很低。

最高的是：

威胁: SSL证书与实体(个人、组织、主机等)关联。用一把公钥。在SSL连接中，客户端使用服务器的证书对远程服务器进行身份验证，并提取证书中的公钥以建立安全连接。验证是通过验证证书中的公钥是否由受信任的第三方证书颁发机构签名来完成的。如果客户端无法验证证书，它可以中止通信或提示用户继续通信而不进行身份验证。影响:通过利用此漏洞，中间人攻击可能与DNS缓存中毒同时发生.例外情况:如果服务器只与具有服务器证书或受信任CA证书的受限制客户端进行通信，则服务器或CA证书可能无法公开使用，并且扫描将无法验证签名。解决方案:请安装由受信任的第三方证书颁发机构签名的服务器证书.结果:证书#0 CN=132123-server1 1无法获得本地颁发者证书

当我重新运行扫描时，我不知道如何解决这个问题来传递这一点。有什么我可以遵循的步骤吗？

备注：

服务器是IIS 8。

网站是使用SSL通配符从高爸爸。

Answer 1

基本上，从SSL签名验证中获得的错误响应是：

无法获得本地颁发者证书

颁发者是接收您的证书签名请求(CSR)、对其进行签名并返回服务器证书(与您与CSR一起生成的私钥一起安装的)的签名机构。服务器证书是一个带有.cer或.crt扩展的PEM文件。它是一个文本文件，其证书以块的形式编码在以下文件之间：

-----BEGIN CERTIFICATE-----

     gibberish not copied

-----END CERTIFICATE-----

错误文本解释：

验证是通过验证证书中的公钥是否由受信任的第三方证书颁发机构签名来完成的。

但要进行此验证，至少需要一个其他证书，即颁发者的证书，也可能是证书根颁发机构(CA)的证书。

grep -c BEGIN /etc/pki/tls/certs/yourserver.crt中的1计数将显示，当您有这样一个本地颁发机构时，它的证书不可用。至少需要两个证书才能验证。

扫描仪(如PCI外部漏洞扫描)需要了解这些附加证书。它们可以是众所周知的/内置在CA中的，比如Verisign，但是很有可能它们是未知的，因为CA可能是您公司的。您的输出中的规范名称(CN=)和(缺失的)域组件表明，证书不是由供应商内置到扫描仪的CA签名的。

通常的做法是将颁发者证书和根ca证书(按该顺序)附加到服务器证书，以便将信任链告知SSL客户端。

cat issuer.cer root_ca.cer >> etc/pki/tls/certs/yourserver.crt

但这并不能建立信任。扫描器和SSL客户端一般都需要颁发者的根CA证书。如果您的公司有自己的CA，那么您需要在任何地方安装它。