Отключить все, кроме RC4 в Apache

Question

Отключить все, кроме RC4 в Apache

Наш поставщик соответствия PCI требует, чтобы мы отключили на нашем веб-сервере все шифрование, кроме RC4. В настоящее время наш конфигурационный файл apache выглядит так:

SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH:!AES256-SHA:!ECDHE-RSA-AES256-SHA384:!AES128-SHA:!DES-CBC:!aNull:!eNull:!LOW:!SSLv2

Однако https://www.ssllabs.com/ сообщает, что разрешены следующие шифры:

TLS_RSA_WITH_RC4_128_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Как я могу настроить apache, чтобы разрешить только RC4?

2

apache-2.2 ssl encryption tls pci-dss

Источник

Daniel 20 сен '12 в 21:17

3 ответа

Решение

Интересно, как все меняется. Это старое сообщение, но оно появляется в поиске Google, поэтому я должен добавить, что RC4 (2015) считается небезопасным и не должен использоваться вообще для PCI-совместимых сайтов.

5

Источник

Tim 11 сен '15 в 03:38

403 labs - мой поставщик сканирования соответствия PCI DSS. Они требуют только RC4-SHA для SSL 3.0 и TLS 1.0. Их аргументация заключается в том, что перемещение RC4-SHA на вершину является предпочтительным набором шифров для сервера, а не для клиентов. Таким образом, клиент может согласовать блочный шифр в списке, который уязвим для зверя. Которые все шифры TLS 1.0 CBC являются.

На моем сервере Apache у меня включен только RC4-SHA. На моих IIS-боксах у меня есть RC4-SHA плюс все включенные только шифры TLS 1.2.

2

Источник

msutton 29 сен '12 в 01:52

Другие вопросы по тегам apache-2.2 ssl encryption tls pci-dss

Daniel 20 сен '12 в 21:17 2012-09-20 21:17 · Accepted Answer · 2012-09-20 21:17

Оказывается, это было довольно легко. "Высокий" вариант в моем первоначальном вопросе включал другие шифры. Сокращая это до следующего, я получил то, что хотел:

SSLCipherSuite RC4-SHA

2

Источник

Daniel 20 сен '12 в 21:17