IIS 6.0 上的 pci 合规性

IIS 6.0 上的 pci 合规性

我有一个网站,刚刚未通过 PCI 合规性检查 - 报告称该网站支持弱密码。我以为我已经通过关闭 Web 服务器上的 SSL 2.0 禁用了它。(如果我告诉浏览器仅使用 SSL 2.0,它会拒绝加载网页)

还有什么我需要禁用或检查的吗?(这是一个网络场,我需要查看负载均衡器上的任何东西吗?顺便说一句,LB 应该只是传递数据,加密/解密都在 Web 服务器上完成)

Windows Server 2003、IIS 6.0、ASP.NET 2.0 网站。

- - 更新 - -

通过 GregD 提供的链接,我解决了大部分问题。但我仍然遇到证书不受信任的问题。SSL Labs 网站提供了一些提示,帮助我了解原因(但除此之外,没有明确说明原因):

证书不被信任的原因有很多:

  • 在激活日期之前使用(已过期)
  • 过期后使用(已过期)
  • 证书主机名与网站不匹配(主机名和站点匹配)
  • 已被撤销(我怎么知道呢?)
  • 它是自签名的(由 verisign 提供)
  • 颁发者不是知名的证书颁发机构(Verisign 的知名度够高吗?)
  • 证书链不完整(我怎么知道呢?)

Firefox 似乎同意了该证书,并在地址栏上显示了一个漂亮的绿色区域。

答案1

这不仅仅是关闭 SSL 2.0。你还必须通过以下方式禁用弱加密算法MS KB。您的 PCI 扫描应该指出它具体发现了什么。

您可以使用类似的网站,https://www.ssllabs.com/ssldb/index.html用于测试您的 SSL 证书。

答案2

我见过这样的情况,托管多个网站,其中一个启用了 SSL。确保证书上的通用名称也能解析为公共 IP。

GregD 的建议也很好,我们不得不进入并修改允许的密码。您的报告可能会抱怨 1 或 2 个,但请查看其他密码,然后决定您需要哪些。我们的报告抱怨 56 位密码,所以我们关闭了它们。3 个月后,他们抱怨 60 位密码……

答案3

在 Windows 2003 上的 IIS 6 上,只需将以下内容合并到注册表中:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:0000000

来源:http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html

相关内容