Удаленный сервис поддерживает использование ошибок шифров SSL средней прочности при сканировании PCI

Question

Я получил эту ошибку, когда мой сервер был проверен на соответствие PCI. Мне было интересно, может ли это быть, потому что я отключил iptables. Я не хочу просить их отсканировать это снова, пока я не уверен, что это пройдет. Мой первый вопрос: есть ли способ сканировать это сам? Мой другой вопрос: отключает ли iptables актуальную проблему?

Ниже приведены только несколько ошибок, которые я получаю:

• TCP 443 https - удаленная служба поддерживает использование слабых шифров SSL
• TCP 465 urd - удаленная служба принимает соединения, зашифрованные с использованием SSL 2.0
• TCP 993 imaps - удаленные службы шифруют трафик, используя протокол с известными недостатками
• TCP 995 pop3s - удаленная служба принимает соединения, зашифрованные с использованием SSL 2.0

Спасибо за ваше время.

Answer 1

Если вы используете Apache, вам нужно настроить некоторые параметры в вашем файле ssl.conf.Важными из них являются SSLProtocol и SSLCipherSuite.Следующие настройки работали для меня, но YMMV.Возможно, вам придется добавить их в контейнер VirtualHost для вашего сайта, а не просто настроить существующие в контейнере по умолчанию .

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:!MEDIUM:+HIGH

Попробуйте это, а затем используйте один из инструментов сканированияниже, чтобы сделать бесплатные сканы, чтобы увидеть, какие шифры ваш сайт делает доступными ...

https://www.ssllabs.com/ssldb/index.html

http://www.serversniff.net/content.php?do=ssl

http://www.sslshopper.com/ssl-checker.html

Answer 2

Ошибки не имеют ничего общего с iptables - они указывают, что выделенные сервисы настроены для поддержки SSL слабым или небезопасным образом.

Однако, если вы не собираетесь предоставлять почтовые услуги внешнему миру, вам следует отключить службы SMTPS, IMAPS и POP3S, работающие на портах 465, 993 и 995 соответственно (или заблокировать их с помощью iptables).

Кроме того, предполагая, что вы do намереваетесь предоставлять услуги HTTPS, вам необходимо будет исправить конфигурацию SSL веб-сервера, который вы прослушиваете. Вы захотите настроить его для поддержки только соединений TLS 1.0 и только надежных шифров. Чтобы помочь с этим, ServerFault - правильный сайт.