我提交了我的LAMP服务器(redhat os)进行两次PCI合规性扫描。 第一次扫描导致3个SSL错误。 他们是:
PCI扫描报告提出了一些解决scheme,我在创build一个SSLCipherSuite来解决这个问题。 这是由此产生的SSLCipherSuite
SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!MD5:!IDEA-CBC-SHA:!IDEA-CBC-MD5:!RC2-CBC-MD5:!DES-CBC-SHA:!DES-CBC-MD5:!EXP-DES-CBC-SHA:!EXP-RC2-CBC-MD5:!EXP-RC2-CBC-MD5:!ADH-DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA:!EDH-DSS-DES-CBC-SHA:!EXP-EDH-RSA-DES-CBC-SHA:!EXP-EDH-DSS-DES-CBC-SHA:!EXP-ADH-DES-CBC-SHA 但是,这个SSLCipherSuite仍然是第三个问题.PCI Scan的操作员之后给我发了邮件,说我必须删除任何基于CBC的(比如DES)。 运营商说,他经常看到RC4-AES是可用的密码,作为可接受的解决scheme。
所以我采纳了他的build议并且尝试了
SSLCipherSuite !ALL:RC4-AES
但是这导致了与Apache的错误,它不会再启动。 运营商提出的正确指示是什么?
我认为他的意思是RC4-SHA ,因为RC4-AES是无效的(并且是矛盾的)。 试试看
哦,不要做SSLCipherSuite !ALL:RC4-SHA ,因为那样会禁用你试图启用的RC4-SHA 。 只要做SSLCipherSuite RC4-SHA 。