Ako zakázať slabé šifrovanie a SSL 2.0 v Apache

K tomu, aby obchodníci zvládli kreditné karty, „Payment Card Industry Data Security Standard“ (PCI-DSS) vyžaduje, aby webové stránky, “používali silné šifrovanie a bezpečnostné protokoly ako SSL / TLS alebo IPSEC pre ochranu citlivých dát držiteľov kariet počas prenosu cez otvorené, verejné siete. “To je dosť voľná definícia, ale to, čo v skutočnosti znamená je, že je nutné použiť SSL na vaše webové stránky, ak vaši návštevníci prenášajú svoje číslo kreditnej karty na váš server. Tiež je potrebné zakázať nezabezpečené protokoly ako SSL 2.0 a slabé šifry, ináč neprejdete „PCI compliance scan”.

Napodiv, väčšina verzií Apache povoľuje SSL 2.0 v predvolenom nastavení. Ak máte server Apache, môžete zakázať SSL 2.0 a zakázať slabé šifry podľa nasledujúcich pokynov. Najprv sa uistite, že máte povolené slabé šifry alebo SSL 2.0. Môžete to urobiť pomocou príkazu „local OpenSSL” len zadaním vášho verejného názvu domény na https://www.ssllabs.com/ssldb/index.html

Ďalšie, otvorte súbor „httpd.conf“ alebo „ssl.conf“ a hľadajte direktívu „SSLCipherSuite“. Ak je nemôžete nikde nájsť, stačí ju len pridať, inak, nahraďte ju nasledovným:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Apache Disable SSL 2.0 and Weak Ciphers

Direktívu môžete upraviť ak budete postupovať podľa „ mod_ssl documentation. Len sa uistite, že ste overili, že to stále prejde kontrolou „PCI scan” na https://www.ssllabs.com/ssldb/index.html. Akonáhle ste vstúpili do „SSLCipherSuite directive”, uložte súbor a reštartujte Apache, aby sa dokončilo vypnutie SSL 2.0 a slabých šifier.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

*

Môžete použiť tieto HTML značky a atribúty: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>