我公司为服务器提供PCI抱怨。我的客户进行了扫描(Trustwave扫描)但争议的SSL / TLS弱加密算法'被拒绝,他们提供了以下信息。
======
描述:
在此主机上运行的基于SSL的服务似乎支持使用" weak"密码如:
密钥长度小于128位的密码套件。
使用匿名Diffie-Hellman算法(无需身份验证)的密码套件。
不提供加密的密码套件。
使用预共享密钥的密码套件。
使用RC4或MD5的密码套件
我的服务器详细信息: -
CLOUDLINUX 5.11 x86_64 WHM 11.52.1 SSH版本:OpenSSH_4.3p2,OpenSSL 0.9.8e-fips-rhel5 2008年7月1日。
有人可以解释一下它是什么并解决这个问题吗?
答案 0 :(得分:1)
这很开心,因为在您的Web服务器中,您已启用此密码套装。 从Web服务器的配置文件中禁用所有这些密码,并仅提供AES密码。 那么你也可以在https://www.ssllabs.com/ssltest/
检查密码套装答案 1 :(得分:0)
你的https配置很弱,如果有人真的想打破它,那么可能不安全。
通过https://github.com/parseplatform/parse-sdk-ios-osx/releases/tag/1.11.0运行您的网站,它会显示您的SSL配置设置的所有问题,这些问题应该反映您的报告。您可以通过更新您的Web服务器配置来摆脱它无疑会引发的一些红色错误并获得C等级。你究竟是如何做到这将取决于你没有列出的Web服务器(猜测是Apache?)。
然而,您的一个重大问题将是您的旧版OpenSSL(0.9.8),它不支持TLSv1.1或TLSv1.2。这些将很快成为PCI合规性要求(https://www.ssllabs.com/ssltest/)。是时候更新到更现代版本的OpenSSL,然后配置您的服务器以使用那些允许的更现代的安全设置。
升级OpenSSL可能会很棘手,但也可能需要升级/重新安装Web服务器。寻求有关如何处理此问题的专业建议。