サーバーが PCI 準拠のためにスキャンされたときに、このエラーを受け取りました。iptablesをシャットダウンしたためではないかと思っていました。合格することが確実になるまで、もう一度スキャンするように依頼したくありません。私の最初の質問は、これを自分でスキャンする方法はありますか? 私のもう1つの質問は、iptablesが実際の問題をオフにしていることですか?
以下は、私が得ているいくつかのエラーです。
御時間ありがとうございます。
これらのエラーは特に iptables とは関係ありません。強調表示されたサービスが SSL をサポートするように構成されているため、脆弱または安全でない方法であることが示されています。
ただし、外部にメール サービスを提供するつもりがない場合は、ポート 465、993、および 995 で実行されている SMTPS、IMAPS、および POP3S サービスをそれぞれ無効にする (または iptables でブロックする) 必要があります。
さらに、 HTTPS サービスを提供するつもりなら、リッスンしている Web サーバーの SSL 構成を修正する必要があります。TLS 1.0 接続のみ、および強力な暗号のみをサポートするように構成する必要があります。これについては、ServerFaultが適切なサイトです。
Apache を使用している場合は、ssl.conf ファイルでいくつかの設定を調整する必要があります。重要なものは SSLProtocol と SSLCipherSuite です。次の設定は私にとってはうまくいきましたが、YMMV. これらをサイトの VirtualHost コンテナに追加する必要がある場合があります。デフォルトコンテナ内の既存のものを単純に調整するのではありません。
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:!MEDIUM:+HIGH
これらを試してから、以下のスキャン ツールのいずれかを使用して無料のスキャンを実行し、サイトで利用できる暗号を確認します...
https://www.ssllabs.com/ssldb/index.html