我需要通过将 mod_ssl 限制为 SSLv3 和 TLSv1 并确保长密钥来确保符合 PCI 要求。我尝试了以下配置,但某些 SSLv2 组合似乎仍然有效:
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
SSLCipherSuite 配置应该是什么样的才能完全禁用 SSLv2 并满足 PCI 要求?
答案1
这是我目前使用的符合 PCI 标准的 Apache 配置:
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
答案2
如果您拥有 Apache 2.0+,则可以避免使用 Warner 提到的重写规则,而只需将其替换为:
TraceEnable Off
答案3
可以使用 SSLProtocol 语句禁用该协议,如下所示:
SSLProtocol -ALL +SSLv3 +TLSv1