SSLCipherSuite apenas com RC4-AES

1

Enviei meu servidor LAMP (redhat os) para duas verificações de conformidade com PCI. A primeira varredura resultou em 3 erros SSL. Eles foram:

  1. Servidor SSL suporta criptografia fraca para SSLv3, TLSv1
  2. Servidor SSL suporta algoritmo MAC fraco para SSLv3, TLSv1
  3. Servidor SSL Suporta Cifras CBC para SSLv3, TLSv1

O relatório de verificação PCI sugeriu algumas soluções, que eu tomei na criação de um SSLCipherSuite para resolver o problema. Este é o SSLCipherSuite resultante

SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!MD5:!IDEA-CBC-SHA:!IDEA-CBC-MD5:!RC2-CBC-MD5:!DES-CBC-SHA:!DES-CBC-MD5:!EXP-DES-CBC-SHA:!EXP-RC2-CBC-MD5:!EXP-RC2-CBC-MD5:!ADH-DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA:!EDH-DSS-DES-CBC-SHA:!EXP-EDH-RSA-DES-CBC-SHA:!EXP-EDH-DSS-DES-CBC-SHA:!EXP-ADH-DES-CBC-SHA

No entanto, este SSLCipherSuite ainda falhou no problema 3. O operador do PCI Scan me enviou uma mensagem dizendo que eu precisava remover qualquer coisa baseada em CBC (como DES). O operador disse que frequentemente vê o RC4-AES como a cifra disponível como uma solução aceitável.

Então eu peguei a sugestão dele e tentei

SSLCipherSuite !ALL:RC4-AES

Mas isso causou um erro no apache e não foi iniciado novamente. Qual é a diretiva correta para fazer como o operador sugere?

    
por John 07.11.2013 / 05:11

1 resposta

2

Acho que ele quis dizer RC4-SHA , pois RC4-AES é inválido (e contraditório). Tente isso.

Ah, e não faça SSLCipherSuite !ALL:RC4-SHA , pois isso bane o RC4-SHA que você está tentando ativar. Apenas faça SSLCipherSuite RC4-SHA .

    
por 07.11.2013 / 05:15

Tags