Insecure TLS certificate domain name validation

Validation non sécurisée du nom de domaine du certificat TLS

Risque : moyen

Description

L'application n'effectue pas de validation appropriée du certificat TLS, ce qui la rend vulnérable aux attaques de l'homme du milieu (man-in-the-middle).

Recommandation

La validation des certificats TLS est activée par défaut dans presque toutes les bibliothèques réseau. Vérifiez votre code et votre configuration pour vous assurer que vous ne l'avez pas explicitement désactivée.

Liens

• Vérifier correctement le certificat serveur sur SSL/TLS (CERT Secure Coding)

Normes

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_4_2
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213