Stiamo provando per la conformità PCI su un'istanza EC2 con carico bilanciato su AWS. Un problema che dobbiamo risolvere è che il nostro bilanciatore del carico accetta cifrari deboli. Tuttavia, ELB non supporta la suite di crittografia, quindi devo impostare manualmente ogni cifra uno per uno. Il problema è che non riesco a trovare un elenco di ciò che si qualifica come un cifrario forte. Per esempio, che le cifre non questa impostazione si traducono in:Quali codici di crittografia SSL per la conformità PCI su Amazon AWS ELB?
SSLCipherSuite ALL:! ANULL:! ADH: eNULL: LOW: EXP: RC4 + RSA: + ALTO: + MEDIO
E 'sorprendentemente difficile trova queste informazioni e amazon non ha un'impostazione di default PCI (che sembra così stupida - hanno due criteri di default, perché non hanno un terzo chiamato "Strong PCI" o qualcosa del genere).
ho trovato un paio link molto utili per coloro che perseguono questo problema: Un elenco di cifre e rispettivi punti di forza: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Un post su come regolare il tuo impostazioni di bilanciamento del carico utilizzando gli strumenti della riga di comando con un esempio: https://forums.aws.amazon.com/message.jspa?messageID=276031 Utilizzando gli strumenti della riga di comando, è possibile aggiungere una politica che elimina uno per uno i cifrari offensivi. –
Bene, abbiamo ottenuto la nostra certificazione PCI, ma non senza molte prove ed errori.Un paio di consigli: -Assicurati di eseguire la scansione del tuo dominio, non del tuo IP (se stai utilizzando un servizio di bilanciamento del carico). Inoltre, assicurati di stringere il server, anche se è dietro il bilanciamento del carico. Se si collegano al tuo IP, ignorerà il LB -Assicurati di lasciare aperti tutti i 256 codici e almeno uno o due 128 secondi, o avrai problemi con IE8 e meno riuscirai a connetterti. -Ricorda di applicare la tua politica dopo aver creato la tua politica impostandola per ascoltare il post 443. –
@SeamusJames: Grazie per il seguito con questi dettagli per guidare i futuri lettori, molto apprezzato - I tuoi consigli potrebbero aiutare gli altri a risparmiare un po 'di tempo in scenari simili, ho aggiornato la mia risposta con un rispettivo puntatore di conseguenza! –