Мне нужно обеспечить соответствие PCI, ограничив mod_ssl до SSLv3 и TLSv1 и обеспечив длинные ключи. Я пробовал следующую конфигурацию, но некоторые комбинации SSLv2, похоже, все еще действительны:
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
Как должна выглядеть конфигурация SSLCipherSuite, чтобы полностью отключить SSLv2 и соответствовать требованиям PCI?
Если у вас Apache 2.0+, вы можете избежать правил перезаписи, упомянутых Warner, и заменить их просто:
TraceEnable Off
Вот что я сейчас использую для конфигурации Apache, совместимой с PCI:
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
Протоколы можно отключить с помощью оператора SSLProtocol как такового:
SSLProtocol -ALL +SSLv3 +TLSv1