远程服务支持在 PCI 扫描中使用中等强度的 SSL 密码错误

Question

当我的服务器进行 PCI 合规性扫描时，我收到此错误。我想知道是否可能是因为我关闭了 iptables。我不想让他们再次扫描，直到我确信它会通过。我的第一个问题是，有什么办法可以自己扫描吗？我的另一个问题是，关闭 iptables 是否是实际问题？

以下是我收到的一些错误：

• TCP 443 https - 远程服务支持使用弱 SSL 密码
• TCP 465 urd - 远程服务接受使用 SSL 2.0 加密的连接
• TCP 993 imaps - 远程服务使用以下协议加密流量已知弱点
• TCP 995 pop3s - 远程服务接受使用 SSL 2.0 加密的连接

感谢您的宝贵时间。

Answer 1

这些错误与 iptables 没有任何关系 - 它们表明突出显示的服务被配置为以弱或不安全的方式支持 SSL。

但是，如果您不打算向外界提供邮件服务，那么您应该分别禁用在端口 465、993 和 995 上运行的 SMTPS、IMAPS 和 POP3S 服务（或使用 iptables 阻止它们）。

此外，假设您确实打算提供 HTTPS 服务，您将需要修复您正在侦听的 Web 服务器的 SSL 配置。您需要将其配置为仅支持 TLS 1.0 连接和强密码。如需有关此问题的帮助，ServerFault 是正确的站点。

Answer 2

如果您使用 Apache，则需要调整 ssl.conf 文件中的一些设置。重要的是 SSLProtocol 和 SSLCipherSuite。以下设置对我有用，但是 YMMV。您可能需要将这些添加到您站点的 VirtualHost 容器中，而不是简单地调整默认容器中的现有容器。

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:!MEDIUM:+HIGH

尝试这些，然后使用下面的扫描工具之一进行免费扫描，以查看您的网站提供哪些密码...

https://www.ssllabs.com/ssldb/index.html

http://www.serversniff.net/content.php?do=ssl

http://www.sslshopper.com/ssl-checker.html