我正在尝试使用securitymetrics.com来确保我的基础架构符合PCI-DSS标准。 该标准要求使用最小TLS 1.1(使用CBC密码)。 TLS 1.0是不允许的。
在保护ftp(vsftpd)的同时,我禁用了sslv2和sslv3,但是在禁用TLS 1.1和TLS 1.2的情况下无法阻止TLS 1.0。 configuration文件有ssl_tlsv1选项,可以设置为YES或NO,但我没有看到任何方法来区分1.0和更高版本。
我怎样才能启用只有TLS 1.1和更好?
要将VSFTPD限制为TLS 1.2,请尝试设置: ssl_ciphers = TLSv1.2
我不知道是否有简单的方法来限制连接到TLS 1.1和1.2。
答案没有发布,所以我想我会跟进其余的…
要禁用TLSv1.0并启用TLSv1.1和TLSv1.2,只需添加这两行并更改第三个:
ssl_tlsv1_2=YES ssl_tlsv1_1=YES ssl_tlsv1=NO