none
Portas e Certificados RRS feed

  • Pergunta

  • Prezados, boa noite,

    Recebi um relatório de falhas, e preciso corrigir os erros abaixo, como devo proceder para corrigir?

    • Os certificados utilizados nos serviços 21/TCP (FTP) e 990/TCP estão expirados desde o mês de Março de 2018, fazendo com que os clientes recebam um alerta de segurança;
    • Os serviços 21/TCP (FTP), 990/TCP, 1433/TCP e 3389/TCP são auto assinados, não sendo considerados válidos e fazendo com que os clientes recebam um alerta de segurança;
    • Os serviços 21/TCP (FTP), 443/TCP (HTTPS), 990/TCP e 1433/TCP os domínios listados como Subject ou Subject Alternative Name (SAN) nos certificados utilizados no servidor não possuem relação direta com o domínio realmente utilizado, fazendo com que os clientes também recebam um aviso de segurança que pode comprometer sua confiança na segurança do serviço;
         .  o certificado utilizado no serviço 1433/TCP utiliza como algoritmo de assinatura SHA-1, o qual é considerado fraco para os padrões atuais pelo número de colisões que é possível gerar no mesmo, o que pode permitir que um atacante gere certificados X.509 adicionais com a mesma assinatura do original. 

    Obrigado.

    Atenciosamente,

    Paulo


    Paulo A. Gomes - paulosp@hotmail.com - MCTS SQL 2008 - MCTS Win2008 - MCSE 2003, MCSA Messaging, MCDST, MCP NT4 2000 XP

    sexta-feira, 25 de janeiro de 2019 04:03

Respostas

  • Bom dia Paulo, 

    Os certificados estão expirados?
    Os certificados utilizados nos serviços 21/TCP (FTP) e 990/TCP estão expirados desde o mês de Março de 2018, fazendo com que os clientes recebam um alerta de segurança;

    Eles tem uma certificadora externa?(Ex: Godaddy)
    Os serviços 21/TCP (FTP), 990/TCP, 1433/TCP e 3389/TCP são auto assinados, não sendo considerados válidos e fazendo com que os clientes recebam um alerta de segurança

    Acredito que resolvendo a configuração essa msg some. 

    Os serviços 21/TCP (FTP), 443/TCP (HTTPS), 990/TCP e 1433/TCP os domínios listados como Subject ou Subject Alternative Name (SAN) nos certificados utilizados no servidor não possuem relação direta com o domínio realmente utilizado, fazendo com que os clientes também recebam um aviso de segurança que pode comprometer sua confiança na segurança do serviço;

    Criar o novo certificado em um padrão mais complexo.

    o certificado utilizado no serviço 1433/TCP utiliza como algoritmo de assinatura SHA-1, o qual é considerado fraco para os padrões atuais pelo número de colisões que é possível gerar no mesmo, o que pode permitir que um atacante gere certificados X.509 adicionais com a mesma assinatura do original. 

    Desculpe-me se as perguntas e respostas parecem obvias, mas não foi especificado se voce já tentou alguma coisa pra resolver o problema. Nem finformações sobre o ambiente. 

    Gustavo. 

    • Sugerido como Resposta IgorFKModerator sexta-feira, 25 de janeiro de 2019 15:07
    • Marcado como Resposta IgorFKModerator quinta-feira, 31 de janeiro de 2019 11:57
    sexta-feira, 25 de janeiro de 2019 12:52

Todas as Respostas

  • Bom dia Paulo, 

    Os certificados estão expirados?
    Os certificados utilizados nos serviços 21/TCP (FTP) e 990/TCP estão expirados desde o mês de Março de 2018, fazendo com que os clientes recebam um alerta de segurança;

    Eles tem uma certificadora externa?(Ex: Godaddy)
    Os serviços 21/TCP (FTP), 990/TCP, 1433/TCP e 3389/TCP são auto assinados, não sendo considerados válidos e fazendo com que os clientes recebam um alerta de segurança

    Acredito que resolvendo a configuração essa msg some. 

    Os serviços 21/TCP (FTP), 443/TCP (HTTPS), 990/TCP e 1433/TCP os domínios listados como Subject ou Subject Alternative Name (SAN) nos certificados utilizados no servidor não possuem relação direta com o domínio realmente utilizado, fazendo com que os clientes também recebam um aviso de segurança que pode comprometer sua confiança na segurança do serviço;

    Criar o novo certificado em um padrão mais complexo.

    o certificado utilizado no serviço 1433/TCP utiliza como algoritmo de assinatura SHA-1, o qual é considerado fraco para os padrões atuais pelo número de colisões que é possível gerar no mesmo, o que pode permitir que um atacante gere certificados X.509 adicionais com a mesma assinatura do original. 

    Desculpe-me se as perguntas e respostas parecem obvias, mas não foi especificado se voce já tentou alguma coisa pra resolver o problema. Nem finformações sobre o ambiente. 

    Gustavo. 

    • Sugerido como Resposta IgorFKModerator sexta-feira, 25 de janeiro de 2019 15:07
    • Marcado como Resposta IgorFKModerator quinta-feira, 31 de janeiro de 2019 11:57
    sexta-feira, 25 de janeiro de 2019 12:52
  • Bom dia,

    Por falta de retorno essa thread está sendo encerrada.

    Caso necessário, sinta-se livre para reabrir a thread (desmarcando como resposta) ou se achar mais conveniente, abrir uma nova thread.

    Atenciosamente,

    Igor F. Kunrath

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    Technet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quinta-feira, 31 de janeiro de 2019 11:58
    Moderador