请提供将通过PCI合规性扫描的Apache SSLCipherSuite
Nig*_*Owl 15 apache pci-dss pci-compliance
我正在尝试让运行Apache 2.2.17的Fedora 14服务器通过McAfee ScanAlert的PCI-DSS合规性扫描.我第一次尝试使用ssl.conf中设置的默认SSLCipherSuite和SSLProtocol指令...
SSLProtocol ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
未能引用弱密码已启用.使用ssllabs和serversniff工具进行扫描后发现,40位和56位密钥确实可用.
然后我改为......
SSLProtocol -ALL +SSLv3 +TLSv1
并尝试了各种网站上报告的所有以下字符串,以便从各种供应商处传递PCI扫描...
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
我在更新后重启apache,apachectl configtest说我的语法没问题.随后的ScanAlert扫描全部失败,其他扫描工具继续显示40和56位密码可用.我已经尝试将SSLProtocol和SSLCipherSuite直接添加到httpd.conf中的VirtualHost并且没有帮助.
它实际上感觉像某个地方覆盖了这些设置,但除了ssl.conf之外我找不到任何设置这些值的地方.
如果有人能够提供已经通过最近PCI扫描的已知良好的SSLCipherSuite,那么它将有助于追踪我的问题.
谢谢.
Gai*_*aia 13
随着新漏洞的发现和浏览器的升级,这里的答案可能(将)过时.我建议你依靠Mozilla SSL Configuration Generator来检查你应该使用哪种配置.
更新2018年:现在强制执行Perfect Forward Secrecy是合理的,除非您需要专门支持旧版浏览器.截至2018年11月,只有"现代"形象才能实现完美前瞻性.阅读更多相关信息:
- 这应该转移到首选答案. (4认同)
经过几个小时的搜索和拔毛,我发现了我的问题.
我的ssl.conf中的默认SSLProtocol和SSLCipherSuite指令存储在标记为的默认容器中<VirtualHost _default_:443>.
我的实际网站有自己的容器标有IP地址,例如:<VirtualHost 64.34.119.12:443>.更改_default_容器中的值没有任何影响,但将更强的SSLProtocol和SSLCipherSuite指令直接添加到特定于站点的VirtualHost容器,最终使它们生效.
仍然不确定为什么_default_在httpd.conf中调整容器或将它们放在VirtualHost容器中不起作用.
作为问题的明确答案,我用过......
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
通过我的ScanAlert扫描.我敢打赌,上面的大多数其他字符串也可以.
| 归档时间: |
|
| 查看次数: |
18481 次 |
| 最近记录: |