我有一个网站刚刚未能通过 PCI 合规性检查 - 报告称该网站支持弱密码。我以为我已经通过关闭网络服务器上的 SSL 2.0 来禁用它。(如果我告诉浏览器只使用 SSL 2.0,它会拒绝加载网页)
还有什么我需要禁用或检查的吗?(这是一个网络农场,负载均衡器上有什么我需要查看的 - 顺便说一下,负载均衡器应该只是简单地传递数据,加密/解密都在网络服务器上完成)
Windows Server 2003、IIS 6.0、ASP.NET 2.0 网站。
- - 更新 - -
通过 GregD 提供的链接,我已经解决了大部分问题。我仍然遇到证书不受信任的问题。SSL Labs 网站有用地提供了一些提示,说明为什么会这样(但在其他方面不是很明确):
证书可能不受信任的原因有很多:
- 它在其激活日期之前使用(它在日期内)
- 它在到期日之后使用(它在日期内)
- 证书主机名与站点不匹配(主机名和站点匹配)
- 它已被撤销(我怎么知道?)
- 它是自签名的(它是由威瑞信提供的)
- 颁发者不是知名的证书颁发机构(威瑞信足够知名吗?)
- 证书链不完整(我怎么知道?)
Firefox 似乎对证书没有问题,在地址栏上放置了一个漂亮的绿色区域。