Как отключить слабые шифры и SSL 2.0 в Apache

Для того, чтобы сайт электронной коммерции мог принимать кредитные карты, Payment Card Industry Data Security Standard (PCI-DSS) требует «использовать достаточную криптографию и протоколы безопасности, такие как SSL / TLS или IPSEC для защиты конфиденциальных данных владельцев карт при передаче по открытым сетям». То есть, вы должны обязательно использовать SSL сертификат на сайте, если ваши посетители передают данные своих кредитных карт вам на сервер. Кроме того, необходимо отключить небезопасные протоколы, такие как SSL 2.0 и слабые шифры, иначе вам не удастся пройти PCI сканирование.

Как ни странно, в большинстве версий Apache SSL 2.0 активен по умолчанию. Если вы используете Apache, вы можете отключить SSL 2.0 и слабые шифры, следуя этим инструкциям. Сначала убедитесь, что у вас активные слабые шифры или SSL 2.0. Вы можете это сделать, используя местные команды OpenSSL или просто введя имя своего домена на https://www.ssllabs.com/ssldb/index.html

Далее, откройте файл httpd.conf или ssl.conf и найдите директиву SSLCipherSuite. Если вы не можете ее найти, можно просто добавить ее или заменить на следующее:

SSLProtocol -ALL +SSLv3 +TLSv1SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Вы можете настроить директивы mod_ssl следующим образом. Просто убедитесь, что она будет проходить PCI сканирование, проверив ее на https://www.ssllabs.com/ssldb/index.html. После этого, сохраните файл и перезапустите Apache чтобы закончить отключения SSL 2.0 и слабых шифров.

Комментарии запрещены.