Veuillez fournir un SSLCipherSuite Apache qui passera une analyse de conformité PCI
Je vais essayer d'obtenir un Fedora 14 serveur exécutant Apache 2.2.17 passer une conformité PCI-DSS analyse par McAfee ScanAlert. Ma première tentative à l'aide de la valeur par défaut directive sslciphersuite et la directive sslprotocol directives définies dans le protocole ssl.conf...
SSLProtocol ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
échoué citant que la faiblesse des algorithmes ont été activés. Des Scans avec ssllabs et serversniff outils a révélé que 40 et 56 bits de clés étaient en effet disponibles.
J'ai ensuite changé pour...
SSLProtocol -ALL +SSLv3 +TLSv1
et essayé toutes les chaînes de caractères suivantes signalé sur différents sites pour passer PCI analyses de divers fournisseurs...
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
Je suis de redémarrer apache après les mises à jour et apachectl configtest dit que ma syntaxe est ok. Ultérieure ScanAlert analyses ont tous échoué et d'autres outils d'analyse de continuer à montrer 40 et 56 bits algorithmes disponibles. J'ai essayé d'ajouter la directive sslprotocol et la directive sslciphersuite directement à la VirtualHost dans httpd.conf et qui n'a pas aidé.
Il se sent réellement comme quelque chose, quelque part, en substituant ces paramètres mais je ne trouve rien nulle part qui définit ces valeurs autres que le ssl.conf.
Si quelqu'un pouvait fournir une directive sslciphersuite qui a passé une récente analyse PCI il serait d'une grande aide dans la traque de mon problème.
Grâce.
source d'informationauteur Night Owl
Vous devez vous connecter pour publier un commentaire.
Que de nouvelles vulnérabilités sont découvertes et les navigateurs sont mis à niveau, les réponses ici peut (va) de devenir obsolètes. Je vous suggère de vous compter sur Mozilla Configuration SSL Générateur pour vérifier la configuration que vous devez utiliser.