我們正在嘗試在AWS上的負載均衡EC2實例上進行PCI合規性。我們必須解決的一個問題是我們的負載均衡器接受弱密碼。但是,ELB不支持密碼套件,所以我必須逐個手動設置每個密碼。問題是,我無法找到一個合格的密碼列表。例如,它的密碼也該設置翻譯成:哪些SSL密碼適用於Amazon AWS ELB上的PCI合規性?
的SSLCipherSuite ALL:A零位:!ADH:!ENULL:!LOW:!EXP:RC4 + RSA:+ HIGH:+ MEDIUM
這是出奇的難找到這些信息,亞馬遜沒有默認的PCI兼容設置(這似乎很愚蠢 - 他們有兩個默認策略,爲什麼不有第三個叫做「強大的PCI」或什麼的)。
更新/提示:請務必閱讀西莫跟進評論,以及緩解你對一個ELB設置的PCI認證方式,只要選擇正確的SSL密碼竟然是拼圖的一部分只。
相當困惑 - 默認PCI兼容Elastic Load Balancing (ELB)設置是非常有幫助的真心;)
你可以找到所有這些標籤的SSLCipherSuite指令的Apache文檔中破譯,如:
這應該允許在Creating a Load Balancer With SSL Cipher Settings and Back-end Server Authentication和Configuring SSL Ciphers具體討論你把它們翻譯成相應的ELB設置。
祝你好運!
我發現AWS ELB SSL密碼以下設置通過我們使用PCI合規掃描:
協議:在SSLv3,使用TLSv1
加密算法:CAMELLIA128-SHA,CAMELLIA256-SHA,KRB5-RC4,MD5 ,KRB5-RC4-SHA,RC4,MD5,RC4-SHA,SEED-SHA
另外,我發現這個網站有助於驗證協議/密碼運行:https://www.ssllabs.com/ssltest/index.html
我發現一對夫婦非常有用的鏈接那些追求這個問題的人: 密碼列表及其各自的優勢: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ 有關如何調整使用命令行工具進行負載平衡器設置,舉例如下: https://forums.aws.amazon.com/message.jspa?messageID=276031 使用命令行工具,可以添加一個逐個消除的策略違規密碼。 – 2012-02-23 21:40:15
那麼,我們獲得了我們的PCI認證,但並非沒有很多試驗和錯誤。一些技巧: - 確保您正在掃描您的域名,而不是您的IP(如果您使用的是負載均衡器)。另外,即使它位於負載平衡器後面,也請確保您的服務器更緊固。如果他們連接到您的IP,它將繞過LB - 確保您保留所有256個密碼和至少一個或兩個128位密碼,否則您將遇到與IE8相關的問題,並且可以連接較低的密碼。 - 通過將其設置爲聆聽帖子443來創建您的政策後,請注意應用您的政策。 – 2012-02-28 18:31:01
@SeamusJames:感謝您跟進這些細節以引導未來的讀者,非常感謝 - 您的提示可以幫助其他人節省相當多的時間在類似的情況下,我已經用相應的指針更新了我的答案! – 2012-02-28 19:19:48