Veuillez fournir un SSLCipherSuite Apache qui passera une analyse de conformité PCI

Je vais essayer d'obtenir un Fedora 14 serveur exécutant Apache 2.2.17 passer une conformité PCI-DSS analyse par McAfee ScanAlert. Ma première tentative à l'aide de la valeur par défaut directive sslciphersuite et la directive sslprotocol directives définies dans le protocole ssl.conf...

SSLProtocol    ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

échoué citant que la faiblesse des algorithmes ont été activés. Des Scans avec ssllabs et serversniff outils a révélé que 40 et 56 bits de clés étaient en effet disponibles.

J'ai ensuite changé pour...

SSLProtocol -ALL +SSLv3 +TLSv1

et essayé toutes les chaînes de caractères suivantes signalé sur différents sites pour passer PCI analyses de divers fournisseurs...

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

Je suis de redémarrer apache après les mises à jour et apachectl configtest dit que ma syntaxe est ok. Ultérieure ScanAlert analyses ont tous échoué et d'autres outils d'analyse de continuer à montrer 40 et 56 bits algorithmes disponibles. J'ai essayé d'ajouter la directive sslprotocol et la directive sslciphersuite directement à la VirtualHost dans httpd.conf et qui n'a pas aidé.

Il se sent réellement comme quelque chose, quelque part, en substituant ces paramètres mais je ne trouve rien nulle part qui définit ces valeurs autres que le ssl.conf.

Si quelqu'un pouvait fournir une directive sslciphersuite qui a passé une récente analyse PCI il serait d'une grande aide dans la traque de mon problème.

Grâce.

source d'informationauteur Night Owl