1. дома
  2. Вопрос и ответ
  3. Какие шифры SSL для PCI-совместимости на Amazon AWS ELB?

Какие шифры SSL для PCI-совместимости на Amazon AWS ELB?

2012-02-23 2 views
6

Мы пытаемся выполнить PCI-совместимость на экземпляре EC2 с балансировкой нагрузки на AWS. Один из вопросов, который мы должны решить, - это наш балансировщик нагрузки, который принимает слабые шифры. Однако ELB не поддерживает набор шифров, поэтому мне приходится вручную устанавливать каждый шифр один за другим. Проблема в том, что я не могу найти список того, что квалифицируется как сильный шифр. Например, какие шифры делает этот параметр перевести:Какие шифры SSL для PCI-совместимости на Amazon AWS ELB?

SSLCipherSuite ALL: aNULL: ADH: eNULL: LOW: EXP: RC4 + RSA: + HIGH: + MEDIUM

Это удивительно трудно найти эту информацию, и amazon не имеет стандартного PCI-совместимого параметра (который кажется таким глупым - у них есть две политики по умолчанию, почему бы не назвать третью строку «Strong PCI» или что-то еще).

источник

2012-02-23 Seamus James

ответ

6

Update/Подсказка: Пожалуйста, не забудь прочитать Шеймус следить за комментариями, а также, чтобы облегчить ваш путь к сертификации PCI в качестве установки УДРА, поскольку выбирая правильную SSL шифров оказалась один часть головоломки только ,

Довольно головоломка - PCI по умолчанию соответствует Elastic Load Balancing (ELB) установка будет чрезвычайно полезно на самом деле;)

Вы можете найти все эти теги расшифрованы в документации Apache из SSLCipherSuite директивы, например:

  • ! ANULL - не Нет аутентификации
  • ADH - не все шифры с использованием Anonymous Di ffie-Хелмана
  • eNULL - не Нет кодирования
  • ...

Это позволит вам перевести их в соответствующие настройки ELB, как описано в Creating a Load Balancer With SSL Cipher Settings and Back-end Server Authentication и Configuring SSL Ciphers конкретно.

Удачи вам!

источник

2012-02-23 19:47:54

+1

Я нашел пару очень полезные ссылки для тех, кто преследует эту проблему: Список шифров и их сильные стороны: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Сообщение о том, как настроить настройки балансировки нагрузки с помощью инструментов командной строки с примером: https://forums.aws.amazon.com/message.jspa?messageID=276031 Используя инструменты командной строки, вы можете добавить политику, которая устраняет один за другим оскорбительные шифры. –

+2

Ну, мы получили нашу сертификацию PCI, но не без многих испытаний и ошибок.Несколько советов: -Убедитесь, что вы сканируете свой домен, а не ваш IP-адрес (если вы используете балансировщик нагрузки). Кроме того, убедитесь, что вы затягиваете свой сервер, даже если он находится за балансировщиком нагрузки. Если они подключатся к вашему IP-адресу, он обходит LB -Убедитесь, что вы оставите открытым все 256 шифров и, по крайней мере, один или два 128-х, или у вас возникнут проблемы с IE8 и ниже будет возможность подключения. -Remember применить свою политику после того, как вы СОЗДАЛИ свою политику, установив ее для прослушивания сообщения 443. –

+0

@SeamusJames: Спасибо, что воспользовались этими подробностями для руководства будущими читателями, очень ценили - ваши советы могли помочь другим сэкономить довольно много времени в подобных сценариях я обновил свой ответ соответствующим указателем соответственно! –

0

я нашел следующие настройки для АМС Elb SSL шифры прошли проверку соответствия PCI мы используем:

Протоколы: SSLv3, TLSv1

шифры: CAMELLIA128-ША, CAMELLIA256-ША, Krb5-RC4-MD5 , krb5-RC4-SHA, RC4-MD5, RC4-SHA, SEED-ША

Кроме того, я нашел этот сайт полезным для проверки протоколов/шифры работает: https://www.ssllabs.com/ssltest/index.html

источник

2013-02-13 14:25:04 CharlesA

Смежные вопросы

 Смежные вопросы