我需要通过将mod_ssl限制为SSLv3和TLSv1并确保长密钥来确保符合PCI规范。 我已经尝试了以下configuration,但SSLv2的某些组合似乎仍然有效:
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCipherSuiteconfiguration应该如何完全禁用SSLv2并满足PCI要求?
这是我目前使用的一个PCI兼容的Apacheconfiguration:
SSLProtocol all -SSLv2 SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F]
如果你有Apache 2.0+,你可以避免华纳提到的重写规则,并用下面的代替:
TraceEnable Off
可以使用SSLProtocol语句来禁用协议,如下所示:
SSLProtocol -ALL +SSLv3 +TLSv1