Eu tenho um site que acabou de falhar na verificação de Conformidade com PCI - O relatório disse que o site oferecia códigos fracos. Eu pensei que já havia desativado isso, desativando o SSL 2.0 nos servidores da web. (Ele se recusa a carregar uma página da web se eu disser ao navegador para usar somente SSL 2.0)
Há mais alguma coisa que eu preciso desativar ou verificar? (É uma fazenda web, existe alguma coisa no balanceador de carga que eu preciso olhar - Incidentalmente, o LB deveria simplesmente passar os dados, a criptografia / descriptografia é feita nos servidores web)
Site do Windows Server 2003, IIS 6.0, ASP.NET 2.0.
--- Atualizar ---
Tendo passado pelos links fornecidos por GregD, resolvi a maioria dos problemas. Ainda estou recebendo o problema de que o certificado não é confiável. O site do SSL Labs fornece algumas dicas sobre por que isso poderia ser (mas de outra forma não é muito explícito no assunto):
There are many reasons why a certificate may not be trusted:
- It is used before its activation date (It is in date)
- It is used after its expiry date (It is in date)
- Certificate hostname doesn't match the site (host name and site match)
- It has been revoked (How do I tell?)
- It is self-signed (It's is by verisign)
- The issuer is not a well-known certificate authority (Is verisign well known enough?)
- The certificate chain is incomplete (How do I tell?)
O Firefox parece estar bem com o certificado, colocando uma boa área verde na barra de endereço.
Eu já vi casos como este onde vários sites estão hospedados e um deles tem o SSL ativado. Certifique-se de que o nome comum no certificado também seja resolvido para o IP público.
A sugestão de GregD também é boa, tivemos que entrar e modificar as cifras permitidas. Seu relatório provavelmente vai reclamar de 1 ou 2, mas dê uma olhada nos outros e decida quais você precisa. Nosso relatório reclamou das cifras de 56 bits, então as desligamos. 3 meses depois eles reclamaram dos de 60 bits ...
No IIS 6 no Windows 2003, basta mesclar o seguinte no seu registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:0000000
Fonte: link