Insecure TLS certificate domain name validation

安全でない TLS 証明書のドメイン名検証

リスク: 中

説明

アプリケーションは適切な TLS 証明書の検証を実行していないため、中間者攻撃に対して脆弱です。

推奨事項

TLS 証明書の検証は、ほぼすべてのネットワーキング ライブラリでデフォルトで有効になっています。明示的に無効にしていないことを確認するために、コードと構成を確認してください。

リンク

• SSL/TLSでのサーバー証明書の適切な検証 (CERT Secure Coding)

基準

• PCI_STANDARDS:
  • REQ_2_2
  • REQ_4_2
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213