Próbujemy uzyskać zgodność ze standardem PCI na równoważonej obciążeniem instancji EC2 w AWS. Jedną z kwestii, którą musimy rozwiązać, jest nasz system równoważenia obciążenia, który akceptuje słabe szyfry. Jednak ELB nie obsługuje zestawu szyfrów, więc muszę ręcznie ustawić każdy z szyfrów jeden po drugim. Problem polega na tym, że nie mogę znaleźć listy tego, co kwalifikuje się jako silny szyfr. Na przykład, co szyfry czy to ustawienie tłumaczyć do:Które szyfrowanie SSL dla zgodności PCI z Amazon AWS ELB?
SSLCipherSuite wszystko:! ANULL: ADH: eNULL: LOW: EXP: RC4 + RSA: + HIGH: + MEDIUM
Jest zaskakująco trudno znajdź tę informację, a amazon nie ma domyślnego ustawienia zgodnego z PCI (co wydaje się takie głupie - mają dwie domyślne zasady, dlaczego nie mieć trzeciej "Silnej PCI" lub czegoś podobnego).
znalazłem kilka bardzo przydatnych linków dla osoby starające się o ten problem: Lista szyfrów i ich mocnych stron: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Post o tym, jak dostosować swój ustawienia równoważenia obciążenia za pomocą narzędzi wiersza poleceń na przykładzie: https://forums.aws.amazon.com/message.jspa?messageID=276031 Za pomocą narzędzi wiersza poleceń można dodać strategię, która eliminuje jeden po drugim obrażające szyfry. –
Otrzymaliśmy naszą certyfikację PCI, ale nie bez wielu prób i błędów.Kilka wskazówek: -Upewnij się, że skanujesz swoją domenę, a nie IP (jeśli korzystasz z systemu równoważenia obciążenia). Dodatkowo, upewnij się, że zaostrzasz serwer, nawet jeśli znajduje się on za równoważeniem obciążenia. Jeśli połączą się z twoim adresem IP, ominie LB -Upewnij się, że pozostawisz otwarte wszystkie 256 szyfrów i co najmniej jedną lub dwie 128, albo będziesz mieć problemy z IE8, a niższe będą w stanie się połączyć. -Pamiętaj, aby APLIKOWAĆ swoje zasady po utworzeniu zasad, ustawiając je, aby nasłuchiwały wiadomości 443. –
@SeamusJames: Dziękujemy za zapoznanie się z tymi szczegółami, aby pomóc przyszłym czytelnikom, docenione - Twoje wskazówki mogą pomóc innym zaoszczędzić sporo czasu w podobnych scenariuszach odpowiednio zaktualizowałem swoją odpowiedź odpowiednim wskaźnikiem! –