Podpora LeaderSSL: off-line:
Po-Pá 9:00 - 18:00 Čas SEČ
Zákaznický servis Fakturace:

Pondělí — Pátek:
9:00 - 18:00 Čas SEČ

Technická podpora:

Pondělí — Pátek:
9:00 - 18:00 Čas SEČ

Objednávací systém/Vydání certifikátu:

24/7

  1. Nápověda
  2. Zakázat SSLv2 a slabé šifry

Vy se ptáte, my odpovídáme!

Zakázat SSLv2 a slabé šifry

Soulad s PCI – Zakázat SSLv2 a slabé šifry

Podle standardu Payment Card Industry Data Security Standard (PCI DSS) jsou obchodníci, kteří zpracovávají údaje o kreditních kartách, povinni používat silné šifrování a bezpečnostní protokoly, jako jsou SSL/TLS nebo IPSEC, aby chránili citlivé údaje o držiteli karty během přenosu přes otevřené veřejné sítě.

Co to znamená? Abyste mohli ověřit svou shodu s PCI DSS v této oblasti, musíte zajistit, aby příslušné servery ve vašem prostředí PCI byly nakonfigurovány tak, aby nepovolovaly Secure Sockets Layer (SSL) verze 2 ani „slabou“ šifrovací technologii. Jste také povinni provádět čtvrtletní skenování zranitelnosti zabezpečení PCI u vašich externě přístupných systémů PCI. Bez deaktivace SSLv2 a slabých šifrovacích algoritmů je téměř jisté, že skenování neprojdete. To zase povede k nesouladu s předpisy a souvisejícími riziky a důsledky.

Dilema SSLv2

Podporuje váš server SSLv2?

Jak otestovat:

Na systému, ze kterého budete testy provádět, musíte mít nainstalován OpenSSL. Po instalaci použijte následující příkaz k otestování vašeho webového serveru, za předpokladu, že port 443 je port, na kterém poskytujete https připojení:

# openssl s_client -ssl2 -connect SERVERNAME:443

Pokud server nepodporuje SSLv2, měla by se zobrazit chyba podobná této:

# openssl s_client -ssl2 -connect SERVERNAME:443

CONNECTED(00000003)

458:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:

Jak nakonfigurovat Apache v2 tak, aby nepřijímal připojení SSLv2:

Budete muset upravit direktivu SSLCipherSuite v souboru httpd.conf nebo ssl.conf.

Příkladem může být úprava následujících řádků tak, aby vypadaly podobně jako:

SSLProtocol -ALL +SSLv3 +TLSv1

Restartujte proces Apache a ujistěte se, že server funguje. Proveďte také nový test pomocí OpenSSL, abyste se ujistili, že SSLv2 již není přijímáno.

Jak nakonfigurovat Microsoft IIS tak, aby nepřijímal připojení SSLv2:

Budete muset upravit systémový registr.

Sloučte následující klíče do registru Windows®:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

„Enabled“=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

„Enabled“=dword:00000000

Restartujte systém a ujistěte se, že server funguje. Proveďte také nový test pomocí OpenSSL, abyste se ujistili, že SSLv2 již není přijímáno.

Ty otravné slabé šifry SSL

Podporuje váš server slabé šifry SSL?

Jak testovat:

Na systému, ze kterého budete testovat, musíte mít nainstalovaný OpenSSL. Po instalaci použijte následující příkaz k otestování webového serveru, za předpokladu, že port 443 je port, na kterém poskytujete https připojení:

# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP

Pokud server nepodporuje slabé šifry, měla by se zobrazit chyba podobná této:

# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP

CONNECTED(00000003)

461:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:226:

Jak nakonfigurovat Apache v2 tak, aby nepřijímal slabé šifry SSL:

Budete muset upravit direktivu SSLCipherSuite v souboru httpd.conf nebo ssl.conf.

Příkladem může být úprava následujících řádků tak, aby vypadaly podobně jako:

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Restartujte proces Apache a ujistěte se, že server funguje. Proveďte také nový test pomocí OpenSSL, abyste se ujistili, že slabé šifry SSL již nejsou přijímány.


Jak nakonfigurovat Microsoft IIS tak, aby nepřijímal slabé šifry SSL:

Budete muset upravit systémový registr.

Sloučte následující klíče do registru Windows®:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

„Enabled“=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

„Enabled“=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

„Enabled“=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

„Enabled“=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

„Enabled“=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

„Enabled“=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

„Enabled“=dword:0000000

Restartujte systém a ujistěte se, že server funguje. Proveďte také nový test pomocí OpenSSL, abyste se ujistili, že slabé šifry SSL již nejsou přijímány.

V tomto okamžiku nechte schváleného dodavatele skenování (ASV) provést skenování vašeho externího prostředí PCI za účelem ověření. Provedení výše uvedených změn by mělo způsobit, že skenování ASV nebude označovat a zamítat následující zranitelnosti:

  • SSL server podporuje slabé šifrování
  • SSL server umožňuje šifrování v otevřeném textu
  • SSL server může být nucen používat slabé šifrování
  • SSL server umožňuje anonymní ověřování

Máte další otázky? Napište nám!

Souhlasím

Zadáním svého e-mailu potvrzujete, že jste si pøeèetli Všeobecné obchodní podmínky, Zásady ochrany osobních údajù, a Zásady vrácení penìz a souhlasíte s nimi.

>