17

Apache 2.2.17 を実行している Fedora 14 サーバーを取得して、McAfee ScanAlert による PCI-DSS コンプライアンス スキャンに合格させようとしています。ssl.conf に設定されているデフォルトの SSLCipherSuite および SSLProtocol ディレクティブを使用した最初の試み...

SSLProtocol    ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

弱い暗号が有効になっていることを理由に失敗しました。ssllabs および serverniff ツールを使用したスキャンにより、40 ビットおよび 56 ビットのキーが実際に利用可能であることが明らかになりました。

私はその後...に変更しました

SSLProtocol -ALL +SSLv3 +TLSv1

さまざまなサイトで報告されている次の文字列をすべて試して、さまざまなベンダーからの PCI スキャンに合格しました...

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

更新後に apache を再起動すると、apachectl configtest で構文が問題ないと表示されます。後続の ScanAlert スキャンはすべて失敗し、他のスキャン ツールは利用可能な 40 ビットおよび 56 ビットの暗号を引き続き表示します。SSLProtocol と SSLCipherSuite を httpd.conf の VirtualHost に直接追加しようとしましたが、効果がありませんでした。

実際には、どこかでこれらの設定が上書きされているように感じますが、ssl.conf 以外にこれらの値を設定する場所は見つかりません。

誰かが最近の PCI スキャンに合格した既知の優れた SSLCipherSuite を提供できれば、私の問題を追跡するのに大いに役立ちます。

ありがとう。

4

6 に答える 6

14

新しい脆弱性が発見され、ブラウザがアップグレードされると、ここでの回答は時代遅れになる可能性があります。Mozilla SSL Configuration Generatorを使用して、使用する必要がある構成を確認することをお勧めします。

ここに画像の説明を入力

UPDATE 2018 : 特に古いブラウザーをサポートする必要がない限り、Perfect Forward Secrecy を適用することは合理的です。2018 年 11 月の時点で、"modern" プロファイルのみが Perfect Forward Secrecy を有効にします。詳細については、次を参照してください。

SSL ラボ: Forward Secrecy の展開

Forward Secrecy 用の Apache、Nginx、および OpenSSL の構成

于 2015-02-02T18:30:38.147 に答える
8

何時間も検索して髪を引っ張った後、私は自分の問題を見つけました。

私の ssl.conf のデフォルトの SSLProtocol および SSLCipherSuite ディレクティブは、 というラベルの付いたデフォルトのコンテナに格納されています<VirtualHost _default_:443>

私の実際のサイトには、IP アドレスでラベル付けされた独自のコンテナーがあります<VirtualHost 64.34.119.12:443>。コンテナー内の値を変更し_default_ても影響はありませんでしたが、より強力な SSLProtocol および SSLCipherSuite ディレクティブをサイト固有の VirtualHost コンテナーに直接追加すると、最終的に有効になりました。

コンテナーを調整し_default_たり、httpd.conf の VirtualHost コンテナーに入れたりしてもうまくいかなかった理由はまだわかりません。

質問に対する決定的な答えとして、私は使用しました...

SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

私のScanAlertスキャンに合格します。上記の他の文字列のほとんども同様に機能すると思います。

于 2011-04-25T17:13:29.940 に答える
2

参考までに-この設定が見つかりました:

SSLCipherSuite HIGH:!SSLv2:!ADH

この設定とまったく同じプロトコルのリストを作成しました。

SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

によると:

openssl ciphers -v 'ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH'
openssl ciphers -v 'HIGH:!SSLv2:!ADH'
于 2013-10-20T14:00:14.157 に答える
2

暗号順序を強制するように Apache に指示しましたか?

SSLHonorCipherOrder on

于 2013-09-10T22:10:18.857 に答える
0

ここMozilla Wikiを見てください。

このドキュメントの目的は、運用チームがサーバーで TLS を構成するのを支援することです。

于 2014-10-01T10:03:45.160 に答える