グローバル・サーバID、グローバル・サーバID EV、およびセキュア・サーバID EV証明書には、脆弱性アセスメントサービスへのアクセス権が含まれています。この脆弱性アセスメントサービスは、悪用される可能性が最も高いサイト上の弱点を特定し、措置を講じることを可能にします。グローバル・サーバID証明書とセキュア・サーバID EV証明書のそれぞれに含まれる内容の詳細については、「Pro TLS/SSLサーバ証明書」と「セキュア・サーバID証明書」を参照してください。
脆弱性アセスメントはクラウドサービスであるため、インストールするものは何もありません。グローバル・サーバID証明書とセキュア・サーバID EV証明書が発行され、そのオーダーで脆弱性アセスメントを有効にしたら、このサービスの使用を直ちに開始して、証明書オーダーのドメインをスキャンすることができます。
脆弱性アセスメントは、以下を行うために役立ちます。
マルウェアに感染していることがわかったサイトについてGoogle、Yahoo、Bing、およびその他検索エンジンが作成するブロックリストにウェブサイトが登録されないようにする。
攻撃者がサイトを見つけて攻撃するリスクを軽減する。
悪意ある攻撃のために利用される可能性が最も高いウェブサイト上の弱点を特定する。
これらの脆弱性を素早く修正して、サイトのセキュア化を容易にする。
脆弱性アセスメントには以下が含まれます。
一般向けウェブページ上の脆弱性に対する自動月次スキャン。
調査が必要となる重大な脆弱性と、情報提供のための低リスクアイテムを特定する、読みやすい実用的なレポート。
脆弱性が修正されたことを確認するためにウェブサイトを再スキャンするオプション。
When you enable DigiCert’s vulnerability assessment service, DigiCert scans the domains on the certificate and generates the vulnerability reports using these two ratings:
DDI rating is a Digital Defense curated CVE scoring.
Generally, it aligns with CVE, but in some cases, it displays higher or lower severity based on exposure, such as internal vs external.
PCI rating is the scoring.
It shows PCI pass/fail for vulnerabilities and if assets are compliant based on the vulnerability pass/fail scoring.
重要
The vulnerability assessment does not replace PCI-compliant vulnerability scans. The service complements existing protection with an automatic weekly scan and a report of the most critical vulnerabilities.
Vulnerability report | Severity ratings |
|---|---|
DDI |
|
PCI |
|
The vulnerability assessment service pulls information about your domains into CertCentral, where you can view details about any discovered vulnerabilities to quickly identify exploitable weaknesses and take corrective action for your domains. You can also download reports, get notifications, and rescan your website to help confirm that vulnerabilities were fixed.
脆弱性アセスメントサービスはデフォルトで、アセスメントが有効化されているかぎり、オーダー上のドメインのスキャンを月に1回実行します。また、ドメインは再スキャン用のキューにいつでも手動で登録することができます。スキャンを完全に停止するには、その証明書オーダーの脆弱性アセスメントを無効にします。
脆弱性アセスメントサービスでスキャンするのは、証明書でセキュア化される最高レベルドメインのみです。以下の表には、さまざまなレベルのドメイン(ベースドメイン、第1レベルのサブドメイン、および第2レベルのサブドメイン)をセキュア化するときにサービスがスキャンするドメインの例がいくつか記載されています。
証明書Aセキュア化されたドメイン:
| 証明書がベースドメインと第1レベルのサブドメインをセキュア化する場合、サービスはベースドメインのみをスキャンします。この例では、証明書が2つのベースドメインと2つの第1レベルのサブドメインをセキュア化します。従って、サービスがスキャンするのはベースドメインのみになります。 |
証明書Bセキュア化されたドメイン:
| 証明書がベースドメインをセキュア化しない場合、サービスは次に低いレベルのサブドメインをスキャンします。この例では、証明書が第1レベルのサブドメインと第2レベルのサブドメインをセキュア化します。従って、サービスがスキャンするのは第1レベルのサブドメインのみになります。 |
証明書Cセキュア化されたドメイン:
| 証明書が同じレベルのサブドメインを複数セキュア化する場合、サービスはすべてのサブドメインをスキャンします。この例では、証明書が3つの第1レベルのサブドメインと、1つの第2レベルのサブドメインをセキュア化します。従って、サービスはすべての第1レベルのサブドメインをスキャンします。 |