我有一个网站刚刚未通过 PCI 合规性检查 - 报告称该网站支持弱密码。我以为我已经通过关闭网络服务器上的 SSL 2.0 来禁用它。(如果我告诉浏览器只使用 SSL 2.0,它会拒绝加载网页)
还有什么我需要禁用或检查的吗?(这是一个网络农场,负载均衡器上有什么我需要查看的 - 顺便说一句,LB 应该只是简单地传递数据,加密/解密全部在网络服务器上完成)
Windows Server 2003、IIS 6.0、ASP.NET 2.0 网站。
- - 更新 - -
通过 GregD 提供的链接,我已经解决了大部分问题。我仍然遇到证书不受信任的问题。SSL Labs 网站提供了一些关于为什么会这样的提示(但在其他方面不是很明确):
证书不可信的原因有很多:
- 它在其激活日期之前使用(It is in date)
- 过期后使用(已过期)
- 证书主机名与站点不匹配(主机名和站点匹配)
- 它已被撤销(我怎么知道?)
- 它是自签名的(它是由 verisign 提供的)
- 颁发者不是知名的证书颁发机构(verisign 是否足够知名?)
- 证书链不完整(如何判断?)
Firefox 似乎对证书没有问题,在地址栏上放置了一个漂亮的绿色区域。