Я пытаюсь заставить сервер Fedora 14 с Apache 2.2.17 пройти проверку соответствия PCI-DSS с помощью McAfee ScanAlert. Моя первая попытка использовать директивы SSLCipherSuite и SSLProtocol по умолчанию, установленные в ssl.conf ...
SSLProtocol ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
не удалось, ссылаясь на включение слабых шифров. Сканирование с помощью инструментов ssllabs и serverniff показало, что действительно доступны 40- и 56-битные ключи.
Затем я изменил на ...
SSLProtocol -ALL +SSLv3 +TLSv1
и попробовал все следующие строки, представленные на различных сайтах, для прохождения сканирования PCI от различных поставщиков .. .
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH
Я перезапускаю apache после обновлений, и apachectl configtest сообщает, что мой синтаксис в порядке. Все последующие сканирования ScanAlert завершились сбоем, и другие инструменты сканирования продолжают показывать доступные 40- и 56-битные шифры. Я попытался добавить SSLProtocol и SSLCipherSuite непосредственно к VirtualHost в httpd.conf, и это не помогло.
На самом деле кажется, что что-то где-то переопределяет эти настройки, но я не могу найти ничего, что устанавливало бы эти значения, кроме ssl.conf.
Если бы кто-нибудь мог предоставить заведомо исправный SSLCipherSuite, прошедший недавнее сканирование PCI, это очень помогло бы в отслеживании моей проблемы.
Спасибо.