Acontece que foi bem fácil. A opção "Alta" na minha pergunta original incluía as outras cifras. Ao reduzi-lo para o seguinte, consegui o que queria:
SSLCipherSuite RC4-SHA
Nosso fornecedor de conformidade com PCI exige que todos os nós, exceto a criptografia RC4, sejam desativados em nosso servidor da web. Atualmente, nosso arquivo de configuração do Apache tem esta aparência:
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH:!AES256-SHA:!ECDHE-RSA-AES256-SHA384:!AES128-SHA:!DES-CBC:!aNull:!eNull:!LOW:!SSLv2
No entanto, os links informam que as seguintes cifras são permitidas:
Como posso configurar o apache para permitir apenas o RC4?
Interessante como as coisas mudam. Esta é uma mensagem antiga, mas aparece nas pesquisas do Google, por isso devo acrescentar que o RC4 é agora (2015) considerado inseguro e não deve ser usado em todos os sites compatíveis com PCI.
403 laboratórios são meu fornecedor de verificação de conformidade com o PCI DSS. Eles exigem apenas RC4-SHA para SSL 3.0 e TLS 1.0. O raciocínio deles é que mover o RC4-SHA para o topo é o conjunto de codificação preferido do servidor, não os clientes. Assim, o cliente pode negociar uma cifra de bloco na lista que é vulnerável à besta. Que todas as cifras CBC do TLS 1.0 são.
No meu servidor Apache, só tenho o RC4-SHA ativado. Nas minhas caixas do IIS eu tenho o RC4-SHA mais todas as cifras somente do TLS 1.2 ativadas.
Tags ssl tls encryption apache-2.2 pci-dss