Untrusted TLS/SSL server X.509 certificate問題

tls/ssl x.509 vulnerability assessment va

santanalee 2021-04-09 19:47:02 ‧ 3814 瀏覽

分享至

大家好

最近在公司內網使用了Rapid7 InsightVM 6.5掃描AD和Exchange Server，都有Untrusted TLS/SSL server X.509 certificate問題…

請問要如何找出有問題的自簽憑證？或者有別的方式可測試是否為誤判？

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

Ray

iT邦大神 1 級 ‧ 2021-04-09 20:29:07

不對啊, Rapid7 掃完, 應該在報表上就會告訴你:
Untrusted X.509 是從哪一台機器上面掃到的...
為何你會不知道憑證在哪台機器裡?

回應 2
分享
檢舉

santanalee iT邦新手 1 級 ‧ 2021-04-09 20:37:38 檢舉

在現有的2台AD和2台Exchange server都有這個弱點，每台都有一些自簽憑證，但我不知道怎麼判斷是哪一個自簽憑證造成的。

Ray iT邦大神 1 級 ‧ 2021-04-11 00:57:49 檢舉

只要自簽憑證, 都是不合格的, 都要換掉, 不管是哪一個...

因為自簽憑證的 Root CA 沒有經過審核信任, 所以每個都不會合格...

登入發表回應

海綿寶寶

iT邦大神 1 級 ‧ 2021-04-10 12:17:25

依照官網說明看來
只要是「自簽憑證」就會跳出這個警告
參考以下說明

The server's TLS/SSL certificate is signed by a Certification Authority (CA) that is not well-known or trusted. This could happen if: the chain/intermediate certificate is missing, expired or has been revoked; the server hostname does not match that configured in the certificate; the time/date is incorrect; or a self-signed certificate is being used. The use of a self-signed certificate is not recommended since it could indicate that a TLS/SSL man-in-the-middle attack is taking place

沒有「誤判」(因為實際上就是自簽憑證)
Rapid 只是告知「Untrusted TLS/SSL server X.509 certificate」這個 issue
至於要採行「改善措施」或者「不當一回事」
則是你的選擇