SSL/TLS 密码优先级

SSL/TLS 密码优先级

我正在努力弄清楚 PCI DSS 合规性和 FIPS 合规性在 SSL/TLS 密码套件方面需要什么。我一直在阅读指南这里这里。但是,我找不到任何说明我应该按照什么顺序或优先级列出密码的东西。我知道我需要使用和禁用哪些密码,但我认为它们也应该遵循优先级。这主要针对 Windows 服务器,然后我会考虑对运行 Apache 的 Linux 服务器执行相同的操作。

答案1

这取决于 Windows/IIS 的版本。在 2003(IIS 6)及更早的版本中,无法执行此操作。您只能启用/禁用密码。在 Windows 2008(IIS 7)及更高版本中,您可以通过 GPO 执行此操作(如果您已加入域,我猜如果此服务器符合 PCI 标准,则不会加入域)。

更多信息请点击这里:http://technet.microsoft.com/en-us/library/cc766285(v=ws.10).aspx

答案2

为什么您会认为需要优先考虑?

我所听说过的合规标准都没有推荐过特定的优先级;毕竟,如果密码不安全,就应该将其关闭,而不是降低优先级。

尽管如此,在 TLS 1.1 广泛部署之前,优先使用 RC4 而不是 CBC 构造的密码可能是明智之举;参见CVE-2011-3389

相关内容