Podpora LeaderSSL: nedosegljivo:
pon–pet 9:00 - 18:00 srednjeevropski èas (CET)
Služba za stranke Zaraèunavanje:

ponedeljek–petek:
9:00 - 18:00 srednjeevropski èas (CET)

Tehnièna podpora:

ponedeljek–petek:
9:00 - 18:00 srednjeevropski èas (CET)

Sistem za naroèanje/izdajanje potrdila:

24/7

  1. Pomoč
  2. Onemogoči SSLv2 in šibke šifre

Vi sprašujete – mi odgovarjamo!

Onemogoči SSLv2 in šibke šifre

Skladnost s standardom PCI – onemogočite SSLv2 in šibke šifre

V skladu s standardom za varnost podatkov v industriji plačilnih kartic (PCI DSS) morajo trgovci, ki obdelujejo podatke o kreditnih karticah, uporabljati močne šifrirne in varnostne protokole, kot so SSL/TLS ali IPSEC, da zaščitijo občutljive podatke imetnikov kartic med prenosom prek odprtih javnih omrežij.

Kaj to pomeni? Da bi potrdili skladnost s PCI DSS na tem področju, morate zagotoviti, da so vaši ustrezni strežniki v vašem PCI okolju konfigurirani tako, da ne dovoljujejo Secure Sockets Layer (SSL) različice 2 in »šibke« kriptografije. Prav tako morate vsako četrtletje opraviti preglede varnostnih ranljivosti PCI na vaših zunanjih sistemih PCI. Če ne onemogočite SSLv2 in šibkih šifrirnih algoritmov, je skoraj zagotovo, da pregledi ne bodo uspešni. To pa bo vodilo do neskladnosti s standardom in s tem povezanimi tveganji in posledicami.

Dilema SSLv2

Ali vaš strežnik podpira SSLv2?

Kako preizkusiti:

Na sistemu, na katerem boste izvajali teste, morate imeti nameščen OpenSSL. Po namestitvi uporabite naslednji ukaz za testiranje spletnega strežnika, ob predpostavki, da https povezave zagotavljate na vratih 443:

# openssl s_client -ssl2 -connect SERVERNAME:443

Če strežnik ne podpira SSLv2, boste prejeli napako, podobno naslednji:

# openssl s_client -ssl2 -connect SERVERNAME:443

CONNECTED(00000003)

458:napaka:1407F0E5:SSL rutine:SSL2_WRITE:napaka ssl ročnega stiska:s2_pkt.c:428:

Kako nastaviti Apache v2, da ne sprejema povezav SSLv2:

Spremeniti morate direktivo SSLCipherSuite v datoteki httpd.conf ali ssl.conf.

Primer bi bil urejanje naslednjih vrstic, da bi bile podobne:

SSLProtocol -ALL +SSLv3 +TLSv1

Ponovno zaženite proces Apache in se prepričajte, da strežnik deluje. Ponovno preizkusite z OpenSSL, da se prepričate, da SSLv2 ni več sprejet.

Kako nastaviti Microsoft IIS, da ne sprejema povezav SSLv2:

Spremeniti boste morali sistemski register.

Združite naslednje ključe v registru Windows®:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

„Enabled“=dword:00000000

Ponovno zaženite sistem in se prepričajte, da strežnik deluje. Ponovno preizkusite z OpenSSL, da se prepričate, da SSLv2 ni več sprejet.

Tiste nadležne šibke SSL šifre

Ali vaš strežnik podpira šibke šifre SSL?

Kako preizkusiti:

Na sistemu, na katerem boste izvajali teste, morate imeti nameščen OpenSSL. Po namestitvi uporabite naslednji ukaz za testiranje spletnega strežnika, če predpostavljate, da https povezave zagotavljate na vratih 443:

# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP

Če strežnik ne podpira šibkih šifrirnih algoritmov, bi morali prejeti napako, podobno naslednji:

# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP

CONNECTED(00000003)

461:napaka:140790E5:SSL rutine:SSL23_WRITE:napaka pri ssl rokovanju:s23_lib.c:226:

Kako nastaviti Apache v2, da ne sprejema šibkih SSL šifrirnih algoritmov:

Spremeniti boste morali direktivo SSLCipherSuite v datoteki httpd.conf ali ssl.conf.

Primer bi bil urejanje naslednjih vrstic, da bi bile podobne:

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Ponovno zaženite proces Apache in se prepričajte, da strežnik deluje. Ponovno preizkusite z OpenSSL, da se prepričate, da šibki SSL šifrirni algoritmi niso več sprejeti.


Kako konfigurirati Microsoft IIS, da ne sprejema šibkih SSL šifer:

Spremeniti boste morali sistemski register.

Združite naslednje ključe v registru Windows®:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

»Enabled«=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

»Enabled«=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

»Enabled«=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

»Enabled«=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

»Enabled«=dword:0000000

Ponovno zaženite sistem in se prepričajte, da strežnik deluje. Ponovno preizkusite z OpenSSL, da se prepričate, da šibki SSL šifrirni algoritmi niso več sprejeti.

Na tej točki naj vaš odobreni ponudnik skeniranja (ASV) skenira vaše zunanje PCI okolje, da ga potrdi. Zgoraj navedene spremembe naj bi povzročile, da ASV skeniranje ne bo označilo in zavrnilo naslednjih ranljivosti:

  • SSL strežnik podpira šibko šifriranje
  • SSL strežnik omogoča šifriranje v obliki čistega besedila
  • SSL strežnik se lahko prisili k uporabi šibkega šifriranja
  • SSL strežnik omogoča anonimno avtentifikacijo

Imate še kakšno vprašanje? Pišite nam.

Sprejmem

Z vnosom svojega e-poštnega sporočila potrjujete, da ste prebrali in sprejeli spletno stran Terms and Conditions, Privacy Policy in Moneyback Policy.

>