Isso é o que eu uso atualmente para uma configuração do Apache compatível com PCI:
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
Eu preciso garantir a conformidade com a PCI, limitando o mod_ssl ao SSLv3 e ao TLSv1 e garantindo chaves longas. Eu tentei a seguinte configuração, mas certas combinações de SSLv2 parecem ainda ser válidas:
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
Como deve ser a configuração do SSLCipherSuite para desativar completamente o SSLv2 e atender aos requisitos PCI?
Se você tiver o Apache 2.0+, poderá evitar as regras de reescrita mencionadas pela Warner e substituí-las por apenas:
TraceEnable Off
Os protocolos podem ser desabilitados com a declaração SSLProtocol como tal:
SSLProtocol -ALL +SSLv3 +TLSv1
Tags ssl apache-2.2 pci-dss