Наш поставщик совместимости с PCI требует, чтобы мы отключили на нашем веб-сервере все, кроме шифрования RC4. В настоящее время наш конфигурационный файл apache выглядит так:
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH:!AES256-SHA:!ECDHE-RSA-AES256-SHA384:!AES128-SHA:!DES-CBC:!aNull:!eNull:!LOW:!SSLv2
Тем не мение, https://www.ssllabs.com сообщает, что разрешены следующие шифры:
Как я могу настроить apache, чтобы разрешить только RC4?
Интересно, как все меняется. Это старое сообщение, но оно появляется в поиске Google, поэтому я должен добавить, что RC4 сейчас (2015 г.) считается небезопасным и не должен использоваться вообще для сайтов, совместимых с PCI.
403 labs - мой поставщик сканирования на соответствие стандарту PCI DSS. Им требуется только RC4-SHA для SSL 3.0 и TLS 1.0. Их аргумент состоит в том, что перемещение RC4-SHA наверх - это предпочтительный набор шифров для сервера, а не для клиентов. Таким образом, клиент может согласовать блочный шифр из списка, уязвимого для зверя. Каковы все шифры TLS 1.0 CBC.
На моем сервере Apache включен только RC4-SHA. На моих ящиках IIS есть RC4-SHA плюс все шифры только TLS 1.2.
Оказалось, это было довольно просто. Вариант «Высокий» в моем первоначальном вопросе включал другие шифры. Сведя его к следующему, я получил то, что хотел:
SSLCipherSuite RC4-SHA