我有一个网站刚刚未能通过 PCI 合规性检查 - 报告称该网站支持弱密码。我以为我已经通过关闭网络服务器上的 SSL 2.0 来禁用它。(如果我告诉浏览器只使用 SSL 2.0,它会拒绝加载网页)
还有什么我需要禁用或检查的吗?(这是一个网络农场,负载均衡器上有什么我需要查看的 - 顺便说一下,负载均衡器应该只是简单地传递数据,加密/解密都在网络服务器上完成)
Windows Server 2003、IIS 6.0、ASP.NET 2.0 网站。
- - 更新 - -
通过 GregD 提供的链接,我已经解决了大部分问题。我仍然遇到证书不受信任的问题。SSL Labs 网站有用地提供了一些提示,说明为什么会这样(但在其他方面不是很明确):
证书可能不受信任的原因有很多:
- 它在其激活日期之前使用(它在日期内)
- 它在到期日之后使用(它在日期内)
- 证书主机名与站点不匹配(主机名和站点匹配)
- 它已被撤销(我怎么知道?)
- 它是自签名的(它是由威瑞信提供的)
- 颁发者不是知名的证书颁发机构(威瑞信足够知名吗?)
- 证书链不完整(我怎么知道?)
Firefox 似乎对证书没有问题,在地址栏上放置了一个漂亮的绿色区域。
它不仅仅是关闭 SSL 2.0。您还必须按照此MS KB 禁用弱加密算法。您的 PCI 扫描应该指出它发现的具体内容。
您可以使用https://www.ssllabs.com/ssldb/index.html之类的网站来测试您的 SSL 证书。
我见过这样的案例,即托管多个站点,其中一个打开了 SSL。确保证书上的公用名也解析为公共 IP。
GregD 的建议也很好,我们必须进去修改允许的密码。您的报告可能会抱怨 1 或 2 个,但请查看其他的,然后决定您需要哪些。我们的报告抱怨 56 位密码,因此我们将其关闭。3 个月后,他们抱怨 60 位的...
在 Windows 2003 上的 IIS 6 上,只需将以下内容合并到您的注册表中:
来源:http ://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html