По результатам сканирования PCI:
Краткое содержание: удаленная служба шифрует трафик, используя протокол с известными слабыми местами.
Описание: удаленная служба принимает соединения, зашифрованные с использованием SSL 2.0, который, как сообщается, страдает несколькими криптографическими недостатками и не рекомендуется использовать уже несколько лет. Злоумышленник может использовать эти проблемы для проведения атак «злоумышленник в середине» или расшифровки связи между затронутой службой и клиентами.
Смотрите также : http://www.schneier.com/paper-ssl.pdf
Решение: обратитесь к документации приложения, чтобы отключить SSL 2.0 и вместо этого использовать SSL 3.0 или TLS 1.0.
Фактор риска: Средний / Базовый балл CVSS: 2 (AV: R / AC: L / Au: NR / C: P / A: N / I: N / B: N)
Я пытался изменить
SSLProtocol all -SSLv2 к SSLProtocol -ALL +SSLv3 +TLSv1
И SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW к SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!MEDIUM:!LOW:!SSLv2:!EXPORT
Но с использованием SSLdigger он показывает тот же результат. Это правильный способ сделать что-то подобное?
Я столкнулся с той же проблемой несколько недель назад. Я нашел решение в этой статье:
Настройки шифрования SSL - на благо всех нас
Конфиги для разных программ находятся в конце текста, но статья есть
чертовски хорошее чтение по этой теме. Так что уделите несколько минут и прочтите его полностью.
С уважением, Фил.
Видеть https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf. Специально для этого, стр. 35. На самом деле вам не нужно каким-либо образом изменять настройки SSL для соответствия PCI, если они небезопасны - что отличается от «более слабого, но обратно совместимого». Тем не менее, похоже, вы пытаетесь настроить параметры SSL в одном месте, но вам нужно изменить их для каждого демона. В зависимости от конфигурации вашей системы выгрузка SSL на конечную точку может упростить управление этим.
Для Apache этих строк должно быть достаточно:
SSLProtocol -SSLv2 +SSLv3 +TLSv1
sSLCipherSuite ALL:+HIGH:+RSA:!MEDIUM:!LOW:!EXP:!ADH:!NULL
Вы можете добавить MEDIUM, если хотите, MEDIUM - 128-битный в Apache, но большинство браузеров поддерживают высокий уровень, поэтому обычно в этом нет необходимости. Обратите внимание, что большинство других ресурсов используют термин «средний» для 56/65/96-битного шифрования, поэтому будьте осторожны при сравнении битовых уровней, а не имен.
Электронная почта, которую мы должны знать, какое программное обеспечение вы используете. 465 - это SMTP через SSL. 993 - это IMAP через SSL. 995 - это протокол POP3 через SSL.