从 PCI 扫描结果来看:
概要如下:远程服务使用已知弱点的协议对流量进行加密。
描述:远程服务接受使用 SSL 2.0 加密的连接,据报道,该协议存在多个加密漏洞,并且已被弃用多年。攻击者可能能够利用这些问题进行中间人攻击或解密受影响服务与客户端之间的通信。
也可以看看 :http://www.schneier.com/paper-ssl.pdf
解决方案:查阅应用程序文档以禁用 SSL 2.0 并改用 SSL 3.0 或 TLS 1.0。
风险因素:中等 / CVSS 基本评分:2(AV:R/AC:L/Au:NR/C:P/A:N/I:N/B:N)
我曾尝试改变
SSLProtocol all -SSLv2
到SSLProtocol -ALL +SSLv3 +TLSv1
并SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!MEDIUM:!LOW:!SSLv2:!EXPORT
但使用 SSLdigger 时,结果相同。这是正确的做法吗?
答案1
对于 Apache,这些行应该足够了:
SSLProtocol -SSLv2 +SSLv3 +TLSv1
sSLCipherSuite ALL:+HIGH:+RSA:!MEDIUM:!LOW:!EXP:!ADH:!NULL
您可以根据需要添加 MEDIUM,在 Apache 中 MEDIUM 为 128 位,但大多数浏览器都支持高位,因此通常不需要添加。请注意,大多数其他资源都使用术语“中位”来表示 56/65/96 位加密,因此请谨慎比较位级别,而不是名称。
关于电子邮件,我们必须知道您正在运行什么软件。465 是通过 SSL 的 SMTP。993 是通过 SSL 的 IMAP。995 是通过 SSL 的 POP3。
答案2
看https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf。具体来说,请参阅第 35 页。如果您的 SSL 设置不是不安全的,您实际上不需要以任何方式修改 PCI 合规性——这与“较弱但向后兼容”不同。话虽如此,您似乎试图在一个地方配置 SSL 设置,但您需要为每个守护进程更改它。根据您的系统配置,将您的 SSL 卸载到端点可能会使管理更容易。
答案3
几周前我遇到了同样的问题。我在本文中找到了解决方案:
各种程序的配置都在文章末尾,但这篇文章
在这个主题上还是很值得一读的。所以花几分钟把它读完整个。
谨致问候,菲尔。