Estou trabalhando para tentar entender o que é necessário para a conformidade com o PCI DSS, bem como para a conformidade com o FIPS em relação aos conjuntos de criptografia SSL / TLS. Eu tenho lido o guia aqui e aqui . No entanto, não consegui encontrar nada que indique em que ordem ou prioridade devo listar as cifras. Posso ver quais devo usar e desativar, mas suponho que existe uma prioridade que deve ser seguida para elas. bem. Isso é principalmente para servidores Windows e, posteriormente, eu verificaria a execução do mesmo para servidores Linux que executam o Apache.
Depende da versão do Windows / IIS. Em 2003 (IIS 6) e anteriores, isso não pode ser feito. Você só pode ativar / desativar as cifras. No Windows 2008 (IIS 7) e versões posteriores, você pode fazer isso por meio de um GPO (se você ingressou no domínio e acredito que esse servidor não seja compatível com PCI).
Mais informações aqui: link
Por que você acha que há uma prioridade necessária?
Nenhum padrão de conformidade que eu já ouvi falar recomendou uma prioridade específica; afinal de contas, se uma cifra é insegura, ela deve ser desativada em vez de ser apenas de-priorizada.
Por outro lado, preferir o RC4 em relação às cifras construídas pelo CBC pode ser até que o TLS 1.1 seja amplamente implementado; veja CVE-2011-3389 .
Tags ssl tls pci-dss fips-140-2