Назад | Перейти на главную страницу

Конфигурация Apache mod_ssl для соответствия PCI

Мне нужно обеспечить соответствие PCI, ограничив mod_ssl до SSLv3 и TLSv1 и обеспечив длинные ключи. Я пробовал следующую конфигурацию, но некоторые комбинации SSLv2, похоже, все еще действительны:

SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

Как должна выглядеть конфигурация SSLCipherSuite, чтобы полностью отключить SSLv2 и соответствовать требованиям PCI?

Если у вас Apache 2.0+, вы можете избежать правил перезаписи, упомянутых Warner, и заменить их просто:

TraceEnable Off

Вот что я сейчас использую для конфигурации Apache, совместимой с PCI:

SSLProtocol all -SSLv2
SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

Протоколы можно отключить с помощью оператора SSLProtocol как такового:

SSLProtocol -ALL +SSLv3 +TLSv1