Какие SSL-шифры для соответствия PCI в Amazon AWS ELB?

Question

Мы пытаемся обеспечить соответствие PCI для экземпляра EC2 со сбалансированной нагрузкой в ​​AWS.Одна проблема, которую мы должны решить - наш балансировщик нагрузки принимает слабые шифры.Однако ELB не поддерживает набор шифров, поэтому мне приходится вручную устанавливать каждый шифр по одному.Проблема в том, что я не могу найти список того, что считается сильным шифром.Например, каким шифрам эта настройка соответствует:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! EXP: RC4 + RSA: + HIGH: + MEDIUM

На удивление трудно найти эту информацию, и amazon не имеет стандартного PCI-совместимого параметра (который кажется таким глупым - у них есть две политики по умолчанию, почему бы не иметь третью с именем «Strong PCI» или что-то в этом роде).

Answer 1

Обновление / Подсказка: Пожалуйста, прочитайте последующие комментарии Seamus, чтобы облегчить ваш путь к сертификации PCI для установки ELB, поскольку выбор правильных шифров SSL оказался одной из частейтолько головоломка.

---

Довольно загадка - стандартная PCI-совместимость Упругая балансировка нагрузки (ELB) была бы чрезвычайно полезной;)

Вы можете найтивсе эти теги расшифрованы в документации Apache директивы SSLCipherSuite , например:

• ! aNULL - не Без аутентификации
• ! ADH- не все шифры, использующие анонимный обмен ключами Диффи-Хеллмана
• ! eNULL - не без кодировки
• ...

Это должно позволить вам преобразовать их в соответствующие настройки ELB, как описано в Создание балансировщика нагрузки с настройками шифра SSL и аутентификацией на внутреннем сервере и Конфигурирование шифров SSL специально.

Goудачи!

Answer 2

Я нашел следующие настройки для шифров AWS ELB SSL, прошедших проверку на соответствие PCI, которую мы используем:

Протоколы: SSLv3, TLSv1

Шифры: CAMELLIA128-SHA, CAMELLIA256-SHA, KRB5RC4-MD5, KRB5-RC4-SHA, RC4-MD5, RC4-SHA, SEED-SHA

Кроме того, я нашел этот сайт полезным для проверки работающих протоколов / шифров: https://www.ssllabs.com/ssltest/index.html