Деактивиране на SSLv2 и слабо кодиране
В съответствие със стандарта за сигурност на данните в индустрията за разплащателни карти (PCI DSS), фирмите, използващи данни от кредитни карти, са длъжни да използват силни криптографски алгоритми и протоколи, като SSL/TLS или IPSEC, за защита на личните данни на картодържателите, когато се предават през отворени обществени мрежи.
Какво означава? За да се съобразите с PCI DSS в тази област, трябва да се уверите, че вашите съответни свързани с PCI сървъри са конфигурирани да забраняват Secure Sockets Layer (SSL) версия 2 и „слабо“ криптиране. Трябва също да поддържате тримесечни PCI сканирания за уязвимости в сигурността. Без да деактивирате SSLv2, почти гарантирано ще се провалите при това сканиране. Това от своя страна ще доведе до несъответствие с PCI DSS, заедно с произтичащите от това последствия и рискове.
Вашият сървър поддържа ли SSLv2?
Трябва да имате инсталиран OpenSSL, за да тествате. След като инсталирате, използвайте следната команда, за да тествате вашия сървър (ако приемем, че httpsвръзката е на порт 443):
# openssl s_client -ssl2 -connect ИМЕ НА СЪРВЪР:443
# openssl s_client -ssl2 -connect SERVERNAME:443 CONNECTED(00000003) 458:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake error:s2_pkt.c:428:
Как да конфигурирате Apache v2 да отказва SSLv2 връзки:
Ще трябва да промените директивата SSLCipherSuite във вашия файл httpd.conf или ssl.conf. Пример би бил редактирането на следните редове на:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Proto cols\SSL2.0\Server] "Активирано"=dword:00000000
Рестартирайте системата и се уверете, че сървърът работи. Също така тествайте повторно с OpenSSL, за да се уверите, че SSLv2 вече не се приема.
СлабоSSL кодиране
Вашият сървър поддържа ли слабо SSL криптиранеКак да разбера:
Трябва да имате инсталиран OpenSSL, за да тествате. Веднъж инсталиран, използвайте следната команда, за да тествате вашия сървър (ако приемем, че httpsвръзката е на порт 443):
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP CONNECTED(00000003) 461:error:140790E5:SSL рутинни процедури:SSL23_WRITE:ssl ръкостискане грешка:s23_lib.c:226:
Рестартирайте системата и се уверете, че сървърът работи. Също така тествайте отново с OpenSSL, за да сте сигурни, че слабото кодиране вече не се приема.
Как да конфигурирате Microsoft IIS, за да деактивирате слабото SSL криптиране:Ще трябва да промените системния регистър. Свържете следните ключове в системния регистър на Windows:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers \NULL] "Активирано"= dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128] "Активирано"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SecurityProviders\SCHANNEL\Cipher s\RC2 56/128] "Активирано"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Активирано"=dword:00000000
Рестартирайте системата и се уверете, че сървърът работи. Също така тествайте отново с OpenSSL, за да сте сигурни, че слабото кодиране вече не се приема.
Ако сте направили горните промени, сканирането на ASV (одобрен доставчик на сканиране) няма да разкрие следните уязвимости:
- SSL сървърът поддържа слабо криптиране
- SSL сървърът позволява кодиране на Cleartext
- SSL сървърът може да бъде принуден да използва слабо криптиране
- SSL сървърът позволява анонимно удостоверяване