AWSの負荷分散されたEC2インスタンスでPCI準拠を試みています。解決しなければならない問題の1つは、ロードバランサーが弱い暗号を受け入れることです。ただし、ELBは暗号スイートをサポートしていないため、各暗号を1つずつ手動で設定する必要があります。問題は、強力な暗号として適格なもののリストが見つからないことです。たとえば、この設定はどの暗号に変換されますか。
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4 + RSA:+ HIGH:+ MEDIUM
この情報を見つけるのは驚くほど難しく、AmazonにはデフォルトのPCI準拠の設定がありません(これは非常にばかげているようです。2つのデフォルトのポリシーがあります。3つ目は「強力なPCI」などと呼ばれます)。
更新/ヒント:正しいSSL暗号を選択することがパズルの一部であることが判明した場合に限り、ELBセットアップのPCI認定に向けた方法を容易にするために、Seamusのフォローアップコメントも必ずお読みください。
かなりパズルです-デフォルトのPCI準拠のElasticLoadBalancing(ELB)設定は、実際に非常に役立ちます;)
これらのタグはすべて、 SSLCipherSuiteディレクティブのApacheドキュメントで解読されています。例:
これにより、SSL暗号化設定とバックエンドサーバー認証を使用したロードバランサーの作成およびSSL暗号化の構成で説明されているように、それらをそれぞれのELB設定に変換できるようになります。
幸運を!
AWS ELB SSL Ciphersの次の設定が、使用するPCIコンプライアンススキャンに合格したことがわかりました。
プロトコル:SSLv3、TLSv1
暗号:CAMELLIA128-SHA、CAMELLIA256-SHA、KRB5-RC4-MD5、KRB5-RC4-SHA、RC4-MD5、RC4-SHA、SEED-SHA
さらに、このWebサイトは、実行されているプロトコル/暗号を確認するのに役立ちました:https ://www.ssllabs.com/ssltest/index.html