主页 / server / 问题 / 123917
Accepted
Keith Palmer Jr.
Asked: 2010-03-19 08:50:39 +0800 CST

如何在 Apache + mod_ssl 中禁用 MEDIUM 和 WEAK/LOW 强度密码?

  • 772

PCI 合规性扫描建议我们禁用 Apache 的 MEDIUM 和 LOW/WEAK 强度密码以确保安全。有人能告诉我如何禁用这些密码吗?

Apache v2.2.14 mod_ssl v2.2.14

这是他们告诉我们的:

概要:远程服务支持使用中等强度的 SSL 密码。说明:远程主机支持使用提供中等强度加密的 SSL 密码,我们目前认为其密钥长度至少为 56 位且小于 112 位。解决方案:如果可能,重新配置受影响的应用程序以避免使用中等强度的密码。风险因素:中 / CVSS 基本评分:5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [更多]

概要:远程服务支持使用弱 SSL 密码。描述:远程主机支持使用提供弱加密或根本不加密的 SSL 密码。另请参阅:http ://www.openssl.org/docs/apps/ciphers .html 解决方案:尽可能重新配置受影响的应用程序以避免使用弱密码。风险因素:中 / CVSS 基本评分:5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [更多]

apache-2.2 mod-ssl

8 个回答

  1. Best Answer

    根据您的需要,您可以提出一个 SSLCipherSuite 线来为您处理这项工作。

    http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslciphersuite

    我的在下面,它们通过了 PCI 扫描。

    SSL 协议 -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    • 17

  2. 如果你不确定这SSLCipherSuite条线最终允许使用什么密码,你可以通过 openssl 运行它:

    openssl ciphers -v 'HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM'

    这将为您提供密码组合列表:

    DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(256) Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
CAMELLIA256-SHA         SSLv3 Kx=RSA      Au=RSA  Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA      SSLv3 Kx=PSK      Au=PSK  Enc=AES(256)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1
...

    修改参数,直到最终得到一个仅包含您允许提供的密码的列表。

    • 7

  3. 请注意,!MEDIUM 也会禁用 128 位密码,这超出了您原始请求的需要。以下配置通过了我的 PCI 合规性扫描,并且对旧浏览器更友好:

    SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol ALL -SSLv2 -SSLv3

    由于贵宾犬攻击,SSL 版本 3 不安全(请参阅:http ://disablessl3.com/ )

    • 5

  4. 只是给出另一个解决方案。根据ssltools.com的建议,他们的建议对我有用:

    SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
    • 2 
  5. SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

    是我正在使用的 - 根据 ssllabs.com 的说法,它提供了最高级别的安全性。

    • 2

  6. 更好地使用 mozilla 的密码生成器,我遵循这个https://mozilla.github.io/server-side-tls/ssl-config-generator

    • 1

  7. mod_ssl 文档将 MEDIUM 列为“使用 128 位加密的所有密码”,而将 HIGH 描述为“使用 Triple-DES 的所有密码”。我猜这是一个文档错误,但如果不是“MEDIUM”实际上高于“HIGH”。

    正如您被告知您至少需要 112 位密钥;这对你来说不重要,因为 HIGH 和 MEDIUM 都足够强大,你应该包括两者。

    • 0

  8. 这就是我最终不得不使用的:

    SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!MEDIUM:!LOW:!SSLv2:!EXPORT
SSLProtocol -ALL +SSLv3 +TLSv1
    • -1

相关问题