我提交了我的 LAMP 服务器 (redhat os) 进行两次 PCI 合规性扫描。第一次扫描导致 3 个 SSL 错误。它们是:
- SSL 服务器支持 SSLv3、TLSv1 弱加密
- SSL 服务器支持 SSLv3、TLSv1 的弱 MAC 算法
- SSL 服务器支持 SSLv3、TLSv1 的 CBC 密码
PCI 扫描报告提出了一些解决方案,我采纳了这些解决方案,创建了一个 SSLCipherSuite 来解决该问题。这是最终的 SSLCipherSuite
SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!MD5:!IDEA-CBC-SHA:!IDEA-CBC-MD5:!RC2-CBC-MD5:!DES-CBC-SHA:!DES-CBC-MD5:!EXP-DES-CBC-SHA:!EXP-RC2-CBC-MD5:!EXP-RC2-CBC-MD5:!ADH-DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA:!EDH-DSS-DES-CBC-SHA:!EXP-EDH-RSA-DES-CBC-SHA:!EXP-EDH-DSS-DES-CBC-SHA:!EXP-ADH-DES-CBC-SHA
但是,这个 SSLCipherSuite 仍然无法解决第 3 个问题。PCI 扫描的操作员随后给我发了一封电子邮件,说我必须删除任何基于 CBC 的内容(例如 DES)。操作员说,他经常看到将 RC4-AES 作为可用密码作为可接受的解决方案。
所以我接受了他的建议并尝试
SSLCipherSuite !ALL:RC4-AES
但这导致 apache 出现错误,无法再次启动。按照操作员的建议,正确的指令是什么?
答案1
我认为他的意思是RC4-SHA,因为RC4-AES无效(且矛盾)。试试看。
哦,不要执行SSLCipherSuite !ALL:RC4-SHA,因为这会禁止RC4-SHA您尝试启用的 。只需执行SSLCipherSuite RC4-SHA。