Come disabilitare Diffie Hellman a 1024 bit, SHA1, DES-CBS-SHA

0

Stiamo usando ubuntu server con apache 2.4 Per la conformità PCI-DSS è necessario disabilitare Diffie Helman 1023 bit, SHA1, DES-CBS-SHA e cifrari di hashing.

attualmente sto usando le impostazioni di sotto.

SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:!RC4:HIGH:!MD5:!aNULL:!EDH:!3DES:!DES:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!MEDIUM

How to check and disable 1024 bit Diffie Helman, SHA1, DES-CBS-SHA on ubuntu Apache server.

    
posta adminz 24.05.2017 - 19:09
fonte

1 risposta

0

Mozilla ha un generatore di config per aiutarti se non sei a conoscenza di cosa dovresti e non dovresti aggiungere a un file di configurazione.

Ecco il link link

Nel tuo caso, per Apache 2.4 la tua configurazione dovrebbe essere simile a

<VirtualHost *:443>
    ...
    SSLEngine on
    SSLCertificateFile      /path/to/signed_certificate_followed_by_intermediate_certs
    SSLCertificateKeyFile   /path/to/private/key

    # Uncomment the following directive when using client certificate authentication
    #SSLCACertificateFile    /path/to/ca_certs_for_client_authentication


    # HSTS (mod_headers is required) (15768000 seconds = 6 months)
    Header always set Strict-Transport-Security "max-age=15768000"
    ...
</VirtualHost>

# modern configuration, tweak to your needs
SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder     on
SSLCompression          off
SSLSessionTickets       off

# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling          on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache        shmcb:/var/run/ocsp(128000)
    
risposta data 24.05.2017 - 23:44
fonte

Leggi altre domande sui tag