Пожалуйста, предоставьте Apache SSLCipherSuite, который пройдет проверку на соответствие PCI

Question

Я пытаюсь заставить сервер Fedora 14, работающий на Apache 2.2.17, пройти проверку на соответствие PCI-DSS McAfee ScanAlert.Моя первая попытка с использованием стандартных директив SSLCipherSuite и SSLProtocol, заданных в ssl.conf ...

SSLProtocol    ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

, не удалась из-за того, что были включены слабые шифры.Сканирование с использованием инструментов ssllabs и serversniff показало, что действительно доступны 40- и 56-битные ключи.

Затем я изменил на ...

SSLProtocol -ALL +SSLv3 +TLSv1

и перепробовал все следующие строки, описанные на разных сайтах.передать сканирование PCI от разных поставщиков ...

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

Я перезагружаю apache после обновлений, и apachectl configtest говорит, что мой синтаксис в порядке.Все последующие сканирования ScanAlert потерпели неудачу, и другие инструменты сканирования продолжают показывать 40- и 56-битные доступные шифры.Я попытался добавить SSLProtocol и SSLCipherSuite непосредственно в VirtualHost в httpd.conf, и это не помогло.

На самом деле такое ощущение, что где-то где-то переопределяются эти настройки, но я нигде не могу найти ничего, что устанавливает эти значения, кроме ssl.conf.

Если кто-то может предоставить известный хороший SSLCipherSuite, который прошел недавнее сканирование PCI, это очень помогло бы отследить мою проблему.

Спасибо.

Answer 1

По мере обнаружения новых уязвимостей и обновления браузеров ответы здесь могут (будут) устареть.Я бы посоветовал вам положиться на Генератор конфигурации Mozilla SSL , чтобы проверить, какую конфигурацию вам следует использовать.

ОБНОВЛЕНИЕ2018 : сейчас разумно применять Perfect Forward Secrecy, если только вам не требуется специально поддерживать старые браузеры.По состоянию на ноябрь 2018 года только «современный» профиль позволит использовать Perfect Forward Secrecy.Подробнее об этом читайте по адресу:

Лаборатории SSL: развертывание прямой секретности

Настройка Apache, Nginx и OpenSSL для прямой секретности

Answer 2

После нескольких часов поисков и стягивания волос я нашел свою проблему.

Директивы SSLProtocol и SSLCipherSuite по умолчанию в моем файле ssl.conf хранятся в контейнере по умолчанию, помеченном как <VirtualHost _default_:443>.

Мой реальный сайт имеет свой собственный контейнер с IP-адресом, например: <VirtualHost 64.34.119.12:443>. Изменение значений в контейнере _default_ не оказало никакого влияния, но добавление более сильных директив SSLProtocol и SSLCipherSuite непосредственно в контейнер VirtualHost для конкретного сайта, наконец, позволило им вступить в силу.

Все еще не уверен, почему корректировка контейнера _default_ или размещение их в контейнере VirtualHost в httpd.conf не сработало.

В качестве окончательного ответа на вопрос я использовал ...

SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

для прохождения сканирования ScanAlert. Могу поспорить, что большинство других приведенных выше строк также будут работать.

Answer 3

Qualys рекомендует следующую конфигурацию, она дает нам A на их сканере

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Да, также убедитесь, что Apache может прочитать новую конфигурацию.Я помещаю это прямо в контейнер виртуального хоста.

С их сайта: https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy

Answer 4

К вашему сведению - я обнаружил, что этот параметр:

SSLCipherSuite HIGH:!SSLv2:!ADH

Создает точно такой же список протоколов, как этот параметр:

SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

Согласно:

openssl ciphers -v 'ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH'
openssl ciphers -v 'HIGH:!SSLv2:!ADH'

Answer 5

Вы указали Apache для обеспечения порядка шифрования?

SSLHonorCipherOrder на

Answer 6

Смотрите здесь Mozilla Wiki .

Цель этого документа - помочь рабочим группам с настройкой TLS на серверах.