我们的PCI合规供应商要求我们在我们的Web服务器上禁用除RC4以外的所有encryption。 目前我们的apacheconfiguration文件如下所示:
SSLHonorCipherOrder On SSLCipherSuite RC4-SHA:HIGH:!ADH:!AES256-SHA:!ECDHE-RSA-AES256-SHA384:!AES128-SHA:!DES-CBC:!aNull:!eNull:!LOW:!SSLv2 但是, https://www.ssllabs.com报告允许使用以下密码:
我怎样才能configurationApache只允许RC4?
有趣的是事情如何改变。 这是一个旧的消息,但在谷歌search显示,所以我应该补充说,RC4现在(2015年)被认为是不安全的,不应该使用PCI兼容的网站。
原来这很简单。 在我原来的问题中的“高”选项是包括其他密码。 通过减less到以下,我得到了我想要的:
SSLCipherSuite RC4-SHA
我的PCI DSS符合性扫描供应商是403个实验室。 他们只需要SSL 3.0和TLS 1.0的RC4-SHA。 他们的推理是把RC4-SHA移到顶端是服务器首选的密码套件,而不是客户端。 所以客户可以在易受野兽侵害的列表上协商分组密码。 所有TLS 1.0 CBC密码都是。
在我的Apache服务器上,我只启用了RC4-SHA。 在我的IIS盒子上,我有RC4-SHA加上所有只能使用TLS 1.2的密码。