1. casa
  2. Domanda e risposta
  3. Quali codici di crittografia SSL per la conformità PCI su Amazon AWS ELB?

Quali codici di crittografia SSL per la conformità PCI su Amazon AWS ELB?

2012-02-23 8 views
6

Stiamo provando per la conformità PCI su un'istanza EC2 con carico bilanciato su AWS. Un problema che dobbiamo risolvere è che il nostro bilanciatore del carico accetta cifrari deboli. Tuttavia, ELB non supporta la suite di crittografia, quindi devo impostare manualmente ogni cifra uno per uno. Il problema è che non riesco a trovare un elenco di ciò che si qualifica come un cifrario forte. Per esempio, che le cifre non questa impostazione si traducono in:Quali codici di crittografia SSL per la conformità PCI su Amazon AWS ELB?

SSLCipherSuite ALL:! ANULL:! ADH: eNULL: LOW: EXP: RC4 + RSA: + ALTO: + MEDIO

E 'sorprendentemente difficile trova queste informazioni e amazon non ha un'impostazione di default PCI (che sembra così stupida - hanno due criteri di default, perché non hanno un terzo chiamato "Strong PCI" o qualcosa del genere).

fonte

2012-02-23 Seamus James

risposta

6

Aggiornamento/Suggerimento: Si prega di assicurarsi di leggere Seamus' follow-up commenti anche per facilitare il vostro cammino verso la certificazione PCI di un setup ELB, nella misura in cui raccogliere i cifrari SSL corrette si è rivelato essere una parte del puzzle unico .

Piuttosto un puzzle - un PCI di default compatibile impostazione Elastic Load Balancing (ELB) sarebbe infatti estremamente utile;)

Potete trovare tutti questi tag decifrato nella documentazione di Apache della direttiva SSLCipherSuite, ad esempio:

  • ! ANULL - non Nessuna autenticazione
  • ! ADH - non tutti i codici utilizzando Anonymous Di ffie-Hellman scambio di chiavi
  • eNULL -! Non No codifica
  • ...

Ciò dovrebbe consentire di tradurli ai rispettivi impostazioni ELB come discusso in Creating a Load Balancer With SSL Cipher Settings and Back-end Server Authentication e Configuring SSL Ciphers specifico.

Buona fortuna!

fonte

2012-02-23 19:47:54

+1

ho trovato un paio link molto utili per coloro che perseguono questo problema: Un elenco di cifre e rispettivi punti di forza: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Un post su come regolare il tuo impostazioni di bilanciamento del carico utilizzando gli strumenti della riga di comando con un esempio: https://forums.aws.amazon.com/message.jspa?messageID=276031 Utilizzando gli strumenti della riga di comando, è possibile aggiungere una politica che elimina uno per uno i cifrari offensivi. –

+2

Bene, abbiamo ottenuto la nostra certificazione PCI, ma non senza molte prove ed errori.Un paio di consigli: -Assicurati di eseguire la scansione del tuo dominio, non del tuo IP (se stai utilizzando un servizio di bilanciamento del carico). Inoltre, assicurati di stringere il server, anche se è dietro il bilanciamento del carico. Se si collegano al tuo IP, ignorerà il LB -Assicurati di lasciare aperti tutti i 256 codici e almeno uno o due 128 secondi, o avrai problemi con IE8 e meno riuscirai a connetterti. -Ricorda di applicare la tua politica dopo aver creato la tua politica impostandola per ascoltare il post 443. –

+0

@SeamusJames: Grazie per il seguito con questi dettagli per guidare i futuri lettori, molto apprezzato - I tuoi consigli potrebbero aiutare gli altri a risparmiare un po 'di tempo in scenari simili, ho aggiornato la mia risposta con un rispettivo puntatore di conseguenza! –

0

ho trovato le seguenti impostazioni per AWS ELB Ciphers SSL superato la scansione di conformità PCI usiamo:

Protocolli: SSLv3, TLSv1

Crittografie: CAMELLIA128-SHA, CAMELLIA256-SHA, krb5-RC4-MD5 , krb5-RC4-SHA, RC4-MD5, RC4-SHA, SEED-SHA

Inoltre, ho trovato questo sito utile per verificare i protocolli/cifrari corsa: https://www.ssllabs.com/ssltest/index.html

fonte

2013-02-13 14:25:04 CharlesA

Problemi correlati

 Problemi correlati