Veuillez fournir un Apache directive sslciphersuite qui va passer d'une Analyse de Conformité PCI
Je vais essayer d'obtenir un Fedora 14 serveur exécutant Apache 2.2.17 passer une conformité PCI-DSS analyse par McAfee ScanAlert. Ma première tentative à l'aide de la valeur par défaut directive sslciphersuite et la directive sslprotocol directives définies dans le protocole ssl.conf...
SSLProtocol ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
échoué citant que la faiblesse des algorithmes ont été activés. Des Scans avec ssllabs et serversniff outils a révélé que 40 et 56 bits de clés étaient en effet disponibles.
J'ai ensuite changé pour...
SSLProtocol -ALL +SSLv3 +TLSv1
et essayé toutes les chaînes de caractères suivantes signalé sur différents sites pour passer PCI analyses de divers fournisseurs...
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
Je suis de redémarrer apache après les mises à jour et apachectl configtest dit que ma syntaxe est ok. Ultérieure ScanAlert analyses ont tous échoué et d'autres outils d'analyse de continuer à montrer 40 et 56 bits algorithmes disponibles. J'ai essayé d'ajouter la directive sslprotocol et la directive sslciphersuite directement à la VirtualHost dans httpd.conf et qui n'a pas aidé.
Il se sent réellement comme quelque chose, quelque part, en substituant ces paramètres mais je ne trouve rien nulle part qui définit ces valeurs autres que le ssl.conf.
Si quelqu'un pouvait fournir une directive sslciphersuite qui a passé une récente analyse PCI il serait d'une grande aide dans la traque de mon problème.
Grâce.
- Merci de voir stackoverflow.com/questions/5769331/...
Vous devez vous connecter pour publier un commentaire.
Que de nouvelles vulnérabilités sont découvertes et les navigateurs sont mis à niveau, les réponses ici peut (va) de devenir obsolètes. Je vous suggère de vous compter sur Mozilla Configuration SSL Générateur pour vérifier la configuration que vous devez utiliser.
Mise à JOUR 2018: Il est raisonnable de le faire respecter (Perfect Forward Secrecy) maintenant, sauf si vous avez besoin de soutenir les anciens navigateurs, en particulier. En novembre 2018, seulement le "moderne" profil permettra de Perfect Forward Secrecy). Lire plus à ce sujet à:
SSL Labs: Déploiement Forward Secrecy
La configuration d'Apache, Nginx, et OpenSSL pour Forward Secrecy
Après des heures de recherche et de tirer les cheveux, j'ai trouvé mon problème.
Par défaut de la directive sslprotocol et la directive sslciphersuite directives dans mon ssl.conf sont stockés dans un conteneur par défaut étiquetés comme
<VirtualHost _default_:443>
.Mon site a son propre récipient étiqueté avec son adresse IP, par exemple:
<VirtualHost 64.34.119.12:443>
. Changer les valeurs dans les_default_
conteneur avait aucun effet, mais l'ajout le plus fort de la directive sslprotocol et la directive sslciphersuite directives directement sur le site spécifique conteneur VirtualHost enfin leur a permis de prendre effet.Toujours pas très bien pourquoi le réglage de la
_default_
conteneur ou de l'avoir dans le conteneur VirtualHost dans httpd.conf n'a pas fonctionné.Comme une réponse définitive à la question, j'ai utilisé...
passer mon ScanAlert d'analyse. Je parie que la plupart des autres chaînes ci-dessus fonctionnent aussi bien.
virtualhost
conteneurs, qui a fait le tour pour nous. Je n'ai pas désactiver la faiblesse des algorithmes cependant, je ne suis pas sûr de la façon largement des chiffrements forts sont disponibles dans les pays non-US en raison de vieilles restrictions à l'exportation.Avez-vous indiquer à Apache de faire respecter cipher commande?
SSLHonorCipherOrder sur
FYI - j'ai trouvé que ce paramètre:
Produit exactement la même liste de protocoles de ce paramètre:
Selon:
La configuration suivante est recommandée par Qualys, il nous a donné un Un sur leur scanner
Oui, aussi assurez-vous que Apache est capable de lire la nouvelle configuration. Je place directement à l'intérieur du conteneur d'hôte virtuel.
De leur site web: https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy
Regardez ici Mozilla Wiki.
Le but de ce document est d'aider les équipes opérationnelles avec la configuration de TLS sur les serveurs.