我提交了我的 LAMP 服务器(redhat os)进行两次 PCI 合规性扫描。第一次扫描导致 3 个 SSL 错误。他们是:
- SSL 服务器支持 SSLv3、TLSv1 的弱加密
- SSL 服务器支持 SSLv3、TLSv1 的弱 MAC 算法
- SSL 服务器支持 SSLv3、TLSv1 的 CBC 密码
PCI 扫描报告提出了一些解决方案,我在创建 SSLCipherSuite 以解决该问题时采用了这些解决方案。这是生成的 SSLCipherSuite
SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!MD5:!IDEA-CBC-SHA:!IDEA-CBC-MD5:!RC2-CBC-MD5:!DES-CBC-SHA:!DES-CBC-MD5:!EXP-DES-CBC-SHA:!EXP-RC2-CBC-MD5:!EXP-RC2-CBC-MD5:!ADH-DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA:!EDH-DSS-DES-CBC-SHA:!EXP-EDH-RSA-DES-CBC-SHA:!EXP-EDH-DSS-DES-CBC-SHA:!EXP-ADH-DES-CBC-SHA
然而,这个 SSLCipherSuite 仍然未能通过问题 3。PCI Scan 的操作员事后给我发电子邮件说我必须删除任何基于 CBC 的内容(例如 DES)。运营商表示,他经常看到将 RC4-AES 作为可用密码作为可接受的解决方案。
所以我接受了他的建议并尝试了
SSLCipherSuite !ALL:RC4-AES
但这会导致 apache 出现错误,并且它不会再次启动。按照运营商的建议,正确的指令是什么?
我认为他的意思是
RC4-SHA, asRC4-AES是无效的(并且是矛盾的)。试试看。哦,不要这样做
SSLCipherSuite !ALL:RC4-SHA,因为这会禁止RC4-SHA您尝试启用的功能。做吧SSLCipherSuite RC4-SHA。