Мы пытаемся выполнить PCI-совместимость на экземпляре EC2 с балансировкой нагрузки на AWS. Один из вопросов, который мы должны решить, - это наш балансировщик нагрузки, который принимает слабые шифры. Однако ELB не поддерживает набор шифров, поэтому мне приходится вручную устанавливать каждый шифр один за другим. Проблема в том, что я не могу найти список того, что квалифицируется как сильный шифр. Например, какие шифры делает этот параметр перевести:Какие шифры SSL для PCI-совместимости на Amazon AWS ELB?
SSLCipherSuite ALL: aNULL: ADH: eNULL: LOW: EXP: RC4 + RSA: + HIGH: + MEDIUM
Это удивительно трудно найти эту информацию, и amazon не имеет стандартного PCI-совместимого параметра (который кажется таким глупым - у них есть две политики по умолчанию, почему бы не назвать третью строку «Strong PCI» или что-то еще).
Я нашел пару очень полезные ссылки для тех, кто преследует эту проблему: Список шифров и их сильные стороны: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Сообщение о том, как настроить настройки балансировки нагрузки с помощью инструментов командной строки с примером: https://forums.aws.amazon.com/message.jspa?messageID=276031 Используя инструменты командной строки, вы можете добавить политику, которая устраняет один за другим оскорбительные шифры. –
Ну, мы получили нашу сертификацию PCI, но не без многих испытаний и ошибок.Несколько советов: -Убедитесь, что вы сканируете свой домен, а не ваш IP-адрес (если вы используете балансировщик нагрузки). Кроме того, убедитесь, что вы затягиваете свой сервер, даже если он находится за балансировщиком нагрузки. Если они подключатся к вашему IP-адресу, он обходит LB -Убедитесь, что вы оставите открытым все 256 шифров и, по крайней мере, один или два 128-х, или у вас возникнут проблемы с IE8 и ниже будет возможность подключения. -Remember применить свою политику после того, как вы СОЗДАЛИ свою политику, установив ее для прослушивания сообщения 443. –
@SeamusJames: Спасибо, что воспользовались этими подробностями для руководства будущими читателями, очень ценили - ваши советы могли помочь другим сэкономить довольно много времени в подобных сценариях я обновил свой ответ соответствующим указателем соответственно! –