Kei*_*Jr. 7 mod-ssl apache-2.2
PCI 合规性扫描建议我们禁用 Apache 的 MEDIUM 和 LOW/WEAK 强度密码以确保安全。有人能告诉我如何禁用这些密码吗?
Apache v2.2.14 mod_ssl v2.2.14
这是他们告诉我们的:
概要:远程服务支持使用中等强度的 SSL 密码。描述:远程主机支持使用提供中等强度加密的 SSL 密码,我们目前将其视为密钥长度至少为 56 位且小于 112 位的密码。解决方案:如果可能,重新配置受影响的应用程序以避免使用中等强度的密码。风险因素:中等 / CVSS 基础评分:5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [更多]
概要:远程服务支持使用弱 SSL 密码。描述:远程主机支持使用提供弱加密或根本不加密的 SSL 密码。另请参阅:http : //www.openssl.org/docs/apps/ciphers.html解决方案:如果可能,重新配置受影响的应用程序以避免使用弱密码。风险因素:中等 / CVSS 基础评分:5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [更多]
McJ*_*eff 16
根据您的需要,您可以想出一个 SSLCipherSuite 产品线来为您处理工作。
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslciphersuite
我的在下面,它们通过了 PCI 扫描。
SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
如果您不确定该SSLCipherSuite行最终允许使用哪些密码,您可以通过 openssl 运行它:
openssl ciphers -v 'HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM'
这将为您提供密码组合列表:
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(256) Mac=SHA1
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(256) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
...
修改参数,直到得到一个只包含允许提供的密码的列表。
小智 5
请注意,!MEDIUM 也会禁用 128 位密码,这超出了您原始请求的需要。以下配置通过了我的 PCI 合规性扫描,并且对旧浏览器更加友好:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol ALL -SSLv2 -SSLv3
由于贵宾犬攻击,SSL 版本 3 不安全(请参阅:http : //disablessl3.com/)
| 归档时间: |
|
| 查看次数: |
92984 次 |
| 最近记录: |