Я работаю над тем, чтобы понять, что требуется как для соответствия PCI DSS, так и для соответствия FIPS в отношении комплектов шифров SSL / TLS. Я читал руководство Вот и Вот. Однако мне не удалось найти ничего, что указывало бы, в каком порядке или приоритете мне следует перечислить шифры. Я вижу, какие из них мне нужно использовать и отключать, но я предполагаю, что для них должен соблюдаться приоритет. хорошо. Это в первую очередь для серверов Windows, и позже я бы посмотрел, как выполнить то же самое для серверов Linux, на которых работает Apache.
Почему вы предполагаете, что нужен приоритет?
Ни один из стандартов соответствия, о которых я когда-либо слышал, не рекомендовал какой-либо конкретный приоритет; в конце концов, если шифр небезопасен, его следует выключить, а не просто отменить приоритет.
Тем не менее, предпочтение RC4 шифров, построенных на основе CBC, может быть разумным до тех пор, пока TLS 1.1 не будет широко развернут; видеть CVE-2011-3389.
Это зависит от версии Windows / IIS. В 2003 (IIS 6) и ранее это невозможно. Вы можете только включать / отключать шифры. В Windows 2008 (IIS 7) и более поздних версиях вы можете сделать это через GPO (если вы присоединены к домену, и я предполагаю, что этот сервер не является, если он совместим с PCI).
Больше информации здесь: http://technet.microsoft.com/en-us/library/cc766285(v=ws.10).aspx