如何在Apache + mod_ssl中禁用中、弱/低强度密码?
PCI法规扫描表明,为了安全起见,我们禁用Apache的中、弱强度密码。有人能告诉我如何禁用这些密码吗?
Apachev2.2.14 mod_ssl v2.2.14
这就是他们告诉我们的:
概要:远程服务支持使用中等强度SSL密码。描述:远程主机支持使用提供中等强度加密的SSL密码,我们目前将其视为密钥长度至少为56位和小于112位的加密。解决方案:如果可能,重新配置受影响的应用程序,以避免使用中等强度的密码。危险因素:中等/ CVSS评分: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) 更多概要:远程服务支持使用弱SSL密码。描述:远程主机支持使用SSL密码器,它们要么提供弱加密,要么根本不提供加密。还请参阅:http://www.openssl.org/docs/apps/ciphers .html解决方案:如果可能,重新配置受影响的应用程序,以避免使用弱密码。危险因素:中等/ CVSS基础评分: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) 更多
回答 7
Server Fault用户
发布于 2012-11-27 14:16:59
如果您不确定这个SSLCipherSuite行最终允许什么密码,您可以通过openssl运行它:
openssl ciphers -v 'HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM'这将给出密码组合的列表:
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(256) Mac=SHA1
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(256) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
...修改参数,直到最终得到只包含允许提供的密码的列表。
Server Fault用户
发布于 2010-12-08 14:31:00
请注意!MEDIUM也将禁用128位密码,这比您最初的请求更多。下面的配置通过了我的PCI遵从性扫描,并且对旧的浏览器更加友好:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol ALL -SSLv2 -SSLv3由于Poodle攻击,SSL 3是不安全的(参见:http://disablessl3.com/)
Server Fault用户
发布于 2012-09-10 23:47:12
只是给出了另一个解决方案。根据ssltools.com的建议,这是他们对我有用的建议:
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDHhttps://serverfault.com/questions/123917
复制相似问题
腾讯云开发者
