У меня есть веб-сайт, который только что не прошел проверку на соответствие PCI - в отчете говорится, что сайт поддерживает слабые шифры. Я думал, что уже отключил это, отключив SSL 2.0 на веб-серверах. (Он отказывается загружать веб-страницу, если я говорю браузеру использовать только SSL 2.0)
Что еще мне нужно отключить или проверить? (Это веб-ферма, есть ли что-нибудь на балансировщике нагрузки, на которое мне нужно посмотреть - кстати, LB должен просто передавать данные, шифрование / дешифрование выполняется на веб-серверах)
Веб-сайт Windows Server 2003, IIS 6.0, ASP.NET 2.0.
--- Обновить ---
Пройдя по ссылкам, предоставленным GregD, я решил большинство проблем. У меня все еще возникает проблема с недоверием сертификата. Веб-сайт SSL Labs услужливо дает несколько подсказок, почему это может быть (но в остальном не очень четко по теме):
Существует множество причин, по которым сертификату нельзя доверять:
- Используется до даты активации (Это в дате)
- Используется по истечении срока годности. (Это в дате)
- Имя хоста сертификата не соответствует сайту (имя хоста и совпадение сайта)
- Он был отозван (Как мне сказать?)
- Самоподписанный (Это от Verisign)
- Эмитент не является широко известным центром сертификации (Достаточно ли хорошо известна Verisign?)
- Цепочка сертификатов неполная (Как мне сказать?)
Firefox, похоже, справляется с сертификатом, разместив красивую зеленую область в адресной строке.
Это выходит за рамки простого отключения SSL 2.0. Вам также необходимо отключить слабые алгоритмы шифрования, выполнив следующие действия. этот MS KB. Ваше сканирование PCI должно было указать, что именно оно обнаружило.
Вы можете использовать такой веб-сайт, как, https://www.ssllabs.com/ssldb/index.html для тестирования ваших сертификатов SSL.
Я видел такие случаи, когда размещалось несколько сайтов и на одном был включен SSL. Убедитесь, что общее имя в сертификате также разрешается в общедоступный IP-адрес.
Предложение GregD тоже хорошее, нам пришлось пойти и изменить разрешенные шифры. Ваш отчет, вероятно, будет жаловаться на 1 или 2, но посмотрите на другие и решите, какие из них вам нужны. В нашем отчете жаловались на 56-битные шифры, поэтому мы их отключили. Через 3 месяца пожаловались на 60-битные ...
В IIS 6 в Windows 2003 просто добавьте в свой реестр следующее:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:0000000
Источник: http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html