SSL 証明書は信頼できません

medium Nessus プラグイン ID 51192

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

このサービスの SSL 証明書は信頼できません。

説明

サーバーの X.509 証明書は信頼できません。以下に説明するように、この状況は3つの異なる経緯で発生する可能性があり、これによって信頼チェーンが破損する可能性があります。

 - まず、サーバーから送信された、証明書チェーンの最上位の証明書が、既知の公共認証期間由来のものではない可能性があります。これは、チェーンの最上位が正当に認められていない自己署名証明書であるか、または証明書チェーンの最上位と既知の公共認証機関とをつなぐ中間の証明書が見つからない場合に起こることがあります。

 - 2 番目に、スキャンする時点で有効でない証明書が証明書チェーンに含まれていることがあります。これは、証明書の「notBefore」(有効期限の開始日時)日付よりも前または「notAfter」(有効期限の終了日時)日付よりも後にスキャンが実行された場合に起こることがあります。

 - 3 番目に、証明書チェーンに、証明書の情報と一致しなかった署名が含まれているか、検証できなかった署名が含まれている可能性があります。署名が不適切な場合、不適切な署名が含まれている証明書に発行者が再度署名することで修正できます。証明書を検証できなかった場合、その原因は、証明書の発行者が、 Nessus がサポートしていないか認識しない署名アルゴリズムを使用したことにあります。

リモートホストが稼働時の公開ホストの場合、証明書チェーンの切断により、ユーザーが Web サーバーの信憑性と ID を検証するのがより困難になります。これにより、リモートホストに対して中間者攻撃を実行することがより簡単になることがあります。

ソリューション

このサービス用の適切な バージョン 1 証明書を、購入または生成してください。

関連情報

https://www.itu.int/rec/T-REC-X.509/en

https://en.wikipedia.org/wiki/X.509

プラグインの詳細

深刻度: Medium

ID: 51192

ファイル名: ssl_signed_certificate.nasl

バージョン: 1.19

タイプ: remote

ファミリー: General

公開日: 2010/12/15

更新日: 2020/4/27

依存関係: ssl_certificate_chain.nasl

リスク情報

CVSS v2

リスクファクター: Medium

Base Score: 6.4

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS v3

リスクファクター: Medium

Base Score: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

脆弱性情報

必要な KB アイテム: SSL/BrokenCAChain