请提供将通过PCI合规性扫描的Apache SSLCipherSuite
我正试图让运行Apache 2.2.17的Fedora 14服务器通过McAfee ScanAlert的PCI-DSS合规性扫描。我第一次尝试使用ssl.conf中设置的默认SSLCipherSuite和SSLProtocol指令请提供将通过PCI合规性扫描的Apache SSLCipherSuite,apache,pci-dss,pci-compliance,Apache,Pci Dss,Pci Compliance,我正试图让运行Apache 2.2.17的Fedora 14服务器通过McAfee ScanAlert的PCI-DSS合规性扫描。我第一次尝试使用ssl.conf中设置的默认SSLCipherSuite和SSLProtocol指令 SSLProtocol ALL -SSLv2 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP 引用弱密码已启用失败。通过ssllabs和serversniff工具进行的扫描显示,40
SSLProtocol ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
谢谢。经过几个小时的搜索和拉扯,我发现了我的问题 myssl.conf中的默认SSLProtocol和SSLCipherSuite指令存储在标记为
\u default\u\u default\uSSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
通过我的扫描警报扫描。我敢打赌,上面的大多数其他字符串也会起作用。您是否告诉Apache强制执行密码顺序
SSLHonorCipherOrder on仅供参考-我发现此设置:
SSLCipherSuite HIGH:!SSLv2:!ADH
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
SSLCipherSuite HIGH:!SSLv2:!ADH
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
openssl ciphers -v 'ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH'
openssl ciphers -v 'HIGH:!SSLv2:!ADH'
下面的配置是Qualys推荐的,它给了我们一个关于他们的 是的,还要确保Apache能够读取新配置。我将其直接放在虚拟主机容器中 从他们的网站:看这里
本文档的目标是帮助运营团队配置服务器上的TLS。随着新漏洞的发现和浏览器的升级,此处的答案可能(将)过时。我建议您依靠来检查应该使用哪种配置 更新2018:现在强制执行完美的前向保密是合理的,除非您需要特别支持较旧的浏览器。截至2018年11月,只有“现代”配置文件才能实现完美的前向保密。更多信息,请访问:
我在禁用sslv2时遇到了类似的问题。在我们的例子中,服务器使用plesk运行。我必须把上面的代码放在
virtualhost