如何在 Apache + mod_ssl 中禁用中等和弱/低强度密码?

如何在 Apache + mod_ssl 中禁用中等和弱/低强度密码?

PCI 合规性扫描建议我们禁用 Apache 的中强度和低强度/弱强度密码以确保安全。有人能告诉我如何禁用这些密码吗?

Apache v2.2.14 mod_ssl v2.2.14

他们告诉我们的是:

摘要:远程服务支持使用中等强度的 SSL 密码。说明:远程主机支持使用提供中等强度加密的 SSL 密码,我们目前将其视为密钥长度至少为 56 位且小于 112 位的密码。解决方案:如果可能,请重新配置受影响的应用程序以避免使用中等强度的密码。风险因素:中等/CVSS 基本评分:5.0(CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)[更多]

摘要:远程服务支持使用弱 SSL 密码。说明:远程主机支持使用提供弱加密或根本不加密的 SSL 密码。另请参阅:http://www.openssl.org/docs/apps/ciphers.html 解决方案:如果可能,请重新配置受影响的应用程序,以避免使用弱密码。风险因素:中等 / CVSS 基本评分:5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [更多]

答案1

根据您的需要,您可以使用 SSLCipherSuite 线路来为您处理这项工作。

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslciphersuite

我的如下,并且通过了 PCI 扫描。

SSL 协议 -ALL +SSLv3 +TLSv1
SSLCipherSuite 全部:!ADH:RC4+RSA:+高:+中:!低:!SSLv2:!导出

答案2

如果您不确定此SSLCipherSuite行最终允许什么密码,您可以通过 openssl 运行它:

openssl ciphers -v 'HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM'

这将为您提供密码组合的列表:

DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(256) Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
CAMELLIA256-SHA         SSLv3 Kx=RSA      Au=RSA  Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA      SSLv3 Kx=PSK      Au=PSK  Enc=AES(256)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1
...

修改参数,直到最终得到仅包含您可以提供的密码的列表。

答案3

请注意 !MEDIUM 也会禁用 128 位密码,这超出了您原始请求所需的范围。以下配置通过了我的 PCI 合规性扫描,并且对较旧的浏览器更友好:

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol ALL -SSLv2 -SSLv3

SSL 版本 3 由于 Poodle Attack 而不安全(参考:http://disablessl3.com/

答案4

SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

是我正在使用的 - 根据 ssllabs.com 的说法,它提供了最高级别的安全性。

相关内容