Desativa tudo, exceto RC4 no apache

2

Nosso fornecedor de conformidade com PCI exige que todos os nós, exceto a criptografia RC4, sejam desativados em nosso servidor da web. Atualmente, nosso arquivo de configuração do Apache tem esta aparência:

SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH:!AES256-SHA:!ECDHE-RSA-AES256-SHA384:!AES128-SHA:!DES-CBC:!aNull:!eNull:!LOW:!SSLv2

No entanto, os links informam que as seguintes cifras são permitidas:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Como posso configurar o apache para permitir apenas o RC4?

    
por Daniel 20.09.2012 / 23:17

3 respostas

2

Acontece que foi bem fácil. A opção "Alta" na minha pergunta original incluía as outras cifras. Ao reduzi-lo para o seguinte, consegui o que queria:

SSLCipherSuite RC4-SHA
    
por 20.09.2012 / 23:17
4

Interessante como as coisas mudam. Esta é uma mensagem antiga, mas aparece nas pesquisas do Google, por isso devo acrescentar que o RC4 é agora (2015) considerado inseguro e não deve ser usado em todos os sites compatíveis com PCI.

    
por 11.09.2015 / 05:38
2

403 laboratórios são meu fornecedor de verificação de conformidade com o PCI DSS. Eles exigem apenas RC4-SHA para SSL 3.0 e TLS 1.0. O raciocínio deles é que mover o RC4-SHA para o topo é o conjunto de codificação preferido do servidor, não os clientes. Assim, o cliente pode negociar uma cifra de bloco na lista que é vulnerável à besta. Que todas as cifras CBC do TLS 1.0 são.

No meu servidor Apache, só tenho o RC4-SHA ativado. Nas minhas caixas do IIS eu tenho o RC4-SHA mais todas as cifras somente do TLS 1.2 ativadas.

    
por 29.09.2012 / 03:52