我正在尝试理解PCI DSS合规性以及与SSL / TLS密码套件有关的FIPS合规性所需的内容。 我一直在阅读这里和这里的指南。 但是,我还没有find任何说明我应该列出密码的顺序或优先级的东西。我可以看到哪些是我需要使用和禁用的,但是我认为应该优先考虑它们好。 这主要是针对Windows服务器的,后来我会考虑对运行Apache的Linux服务器执行相同的操作。
这取决于Windows / IIS的版本。 在2003(IIS 6)及更早的版本中,这是无法完成的。 您只能启用/禁用密码。 在Windows 2008(IIS 7)及更高版本中,您可以通过GPO(如果您join了域,并且我猜这台服务器不符合PCI标准)就可以做到这一点。
更多信息: http : //technet.microsoft.com/en-us/library/cc766285(v=ws.10).aspx
为什么你会认为需要优先考虑?
我没有听说过的合规标准build议特别优先; 毕竟,如果一个密码的不安全,它应该被closures,而不是只是去优先。
也就是说,在TLS 1.1被广泛部署之前,宁愿使用RC4而不使用CBC构造的密码; 请参阅CVE-2011-3389 。