Insecure TLS certificate domain name validation

Validación insegura del nombre de dominio del certificado TLS

Riesgo: medio

Descripción

La aplicación no realiza una validación adecuada del certificado TLS, lo que la hace vulnerable a ataques de intermediario (man-in-the-middle).

Recomendación

La validación del certificado TLS está habilitada por defecto en casi todas las bibliotecas de red. Revise su código y configuración para asegurarse de que no la ha desactivado explícitamente.

Enlaces

• Verificar correctamente el certificado del servidor en SSL/TLS (CERT Secure Coding)

Estándares

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_4_2
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213