远程服务支持在PCI扫描中使用中等强度的SSL密码错误。

1 人关注

当我的服务器被扫描为符合PCI标准时，我收到了这个错误。我想知道这是否可能是因为我关闭了iptables。我不想让他们再次扫描它，直到我确定它能通过。我的第一个问题是，有什么办法可以自己扫描吗？我的另一个问题是，iptables被关闭是否是实际问题？

以下是我遇到的几个错误。

TCP 443 https - The remote service supports the use of weak SSL ciphers

TCP 465 urd - The remote service accepts connections encrypted using SSL 2.0

TCP 993 imaps - The remote services encrypts traffic using a protocol with known weaknesses

TCP 995 pop3s - The remote service accepts connections encrypted using SSL 2.0

谢谢你的时间。

linux

ssl

tcp

iptables

pci-dss

发布于 2010-12-28

2 个回答

发布于 2011-04-25

已采纳

0 人赞同

这些错误与iptables没有具体关系--它们表明突出显示的服务被配置为以弱或不安全的方式支持SSL。

然而，如果你不打算向外界提供邮件服务，那么你应该禁用分别在465、993和995端口运行的SMTPS、IMAPS和POP3S服务（或用iptables阻止它们）。

此外，假设你 do 如果你打算提供HTTPS服务，你将需要修复你所监听的Web服务器的SSL配置。你要把它配置成只支持TLS 1.0连接，而且只支持强密码。如需这方面的帮助。服务器故障 is the right site.

这解释了一些关于PCI合规性扫描失败的其他问题。这些发现都是从 "远程服务支持使用中等强度的SSL密码 "开始的，我不知道该怎么办。它是一个GoDaddy VDS，从我所看到的情况来看，它是这样的。我想问另一个问题，但不知道该问什么。你能就这个问题提供一些指导吗？

发布于 2011-04-25

0 人赞同

如果你使用的是Apache，你需要调整ssl.conf文件中的一些设置。其中重要的是SSLProtocol和SSLCipherSuite。下面的设置对我来说是有效的，但也有可能是错误的。你可能需要将这些设置添加到你的网站的VirtualHost容器中，而不是简单地调整文件中的现有设置。违约容器。

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:!MEDIUM:+HIGH
试试这些，然后使用下面的一个扫描工具进行免费扫描，看看你的网站提供了哪些密码。