1. Dom
  2. Pytanie i odpowiedź
  3. Które szyfrowanie SSL dla zgodności PCI z Amazon AWS ELB?

Które szyfrowanie SSL dla zgodności PCI z Amazon AWS ELB?

2012-02-23 9 views
6

Próbujemy uzyskać zgodność ze standardem PCI na równoważonej obciążeniem instancji EC2 w AWS. Jedną z kwestii, którą musimy rozwiązać, jest nasz system równoważenia obciążenia, który akceptuje słabe szyfry. Jednak ELB nie obsługuje zestawu szyfrów, więc muszę ręcznie ustawić każdy z szyfrów jeden po drugim. Problem polega na tym, że nie mogę znaleźć listy tego, co kwalifikuje się jako silny szyfr. Na przykład, co szyfry czy to ustawienie tłumaczyć do:Które szyfrowanie SSL dla zgodności PCI z Amazon AWS ELB?

SSLCipherSuite wszystko:! ANULL: ADH: eNULL: LOW: EXP: RC4 + RSA: + HIGH: + MEDIUM

Jest zaskakująco trudno znajdź tę informację, a amazon nie ma domyślnego ustawienia zgodnego z PCI (co wydaje się takie głupie - mają dwie domyślne zasady, dlaczego nie mieć trzeciej "Silnej PCI" lub czegoś podobnego).

Źródło

2012-02-23 Seamus James

Odpowiedz

6

Aktualizacja/Hint: Pamiętaj, aby przeczytać Seamus' śledzić komentarze oraz aby ułatwić sobie drogę w kierunku certyfikacji PCI SETUP ELB, w zakresie zbierania prawidłowych szyfrów SSL okazał się być jednym z elementów układanki tylko .

Dość puzzle - domyślny PCI zgodna Elastic Load Balancing (ELB) ustawienie byłoby rzeczywiście bardzo pomocne;)

można znaleźć wszystkie te tagi odszyfrowanych w dokumentacji Apache dyrektywy SSLCipherSuite, np:

  • ! ANULL - nie Brak uwierzytelnienia
  • ! ADH - nie wszystkie szyfry używające Anonymous Di ffie-Hellman
  • eNULL - nie Nie kodowania
  • ...

ta powinna pozwalają przełożyć je do odpowiednich ustawień ELB jak omówiono w Creating a Load Balancer With SSL Cipher Settings and Back-end Server Authentication i Configuring SSL Ciphers specjalnie.

Powodzenia!

Źródło

2012-02-23 19:47:54

+1

znalazłem kilka bardzo przydatnych linków dla osoby starające się o ten problem: Lista szyfrów i ich mocnych stron: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Post o tym, jak dostosować swój ustawienia równoważenia obciążenia za pomocą narzędzi wiersza poleceń na przykładzie: https://forums.aws.amazon.com/message.jspa?messageID=276031 Za pomocą narzędzi wiersza poleceń można dodać strategię, która eliminuje jeden po drugim obrażające szyfry. –

+2

Otrzymaliśmy naszą certyfikację PCI, ale nie bez wielu prób i błędów.Kilka wskazówek: -Upewnij się, że skanujesz swoją domenę, a nie IP (jeśli korzystasz z systemu równoważenia obciążenia). Dodatkowo, upewnij się, że zaostrzasz serwer, nawet jeśli znajduje się on za równoważeniem obciążenia. Jeśli połączą się z twoim adresem IP, ominie LB -Upewnij się, że pozostawisz otwarte wszystkie 256 szyfrów i co najmniej jedną lub dwie 128, albo będziesz mieć problemy z IE8, a niższe będą w stanie się połączyć. -Pamiętaj, aby APLIKOWAĆ swoje zasady po utworzeniu zasad, ustawiając je, aby nasłuchiwały wiadomości 443. –

+0

@SeamusJames: Dziękujemy za zapoznanie się z tymi szczegółami, aby pomóc przyszłym czytelnikom, docenione - Twoje wskazówki mogą pomóc innym zaoszczędzić sporo czasu w podobnych scenariuszach odpowiednio zaktualizowałem swoją odpowiedź odpowiednim wskaźnikiem! –

0

znalazłem następujące ustawienia dla AWS ELB SSL Szyfry przeszedł skan zgodności PCI używamy:

protokołów: SSLv3, TLSv1

Szyfry: CAMELLIA128-SHA, CAMELLIA256-SHA, krb5-RC4-MD5 , krb5-RC4-SHA, RC4-MD5, RC4-SHA, SEED-SHA

Ponadto znalazłem tej stronie przydatne do weryfikacji protokołów/szyfrów działa: https://www.ssllabs.com/ssltest/index.html

Źródło

2013-02-13 14:25:04 CharlesA

Powiązane problemy

 Powiązane problemy