Cómo deshabilitar 1024 bit Diffie Helman, SHA1, DES-CBS-SHA

Question

Cómo deshabilitar 1024 bit Diffie Helman, SHA1, DES-CBS-SHA

#1 de yzT (0 votos)

0

Estamos utilizando el servidor ubuntu con apache 2.4 Para el cumplimiento con PCI-DSS, debemos desactivar el cifrado Diffie Helman de 1024 bits, SHA1, DES-CBS-SHA y los cifrados de hashing.

Actualmente estoy usando la siguiente configuración.

SSLHonorCipherOrder on
          SSLCipherSuite ECDHE-RSA-AES128-SHA256: AES128-GCM-SHA256:! RC4: HIGH:! MD5:! ANULL:! EDH:! 3DES:! DES:! EDH-DSS-DES-CBC3-SHA:! EDH-RSA -DES-CBC3-SHA:! MEDIUM

Cómo verificar y desactivar Diffie Helman, SHA1, DES-CBS-SHA de 1024 bits en el servidor Apache de Ubuntu.

apache pci-dss ubuntu

pregunta adminz 24.05.2017 - 19:09

fuente

1 respuesta

Lea otras preguntas en las etiquetas apache pci-dss ubuntu

¿Qué significan las advertencias de seguridad de cflint? Cifrado de datos almacenados en PHPmyAdmin

score 0 · Accepted Answer

Mozilla tiene un generador de configuración para ayudarte si no estás al tanto de lo que debes y no debes agregar a un archivo de configuración.

Aquí está el enlace enlace

En su caso, para Apache 2.4 su configuración debería ser similar a

<VirtualHost *:443>
    ...
    SSLEngine on
    SSLCertificateFile      /path/to/signed_certificate_followed_by_intermediate_certs
    SSLCertificateKeyFile   /path/to/private/key

    # Uncomment the following directive when using client certificate authentication
    #SSLCACertificateFile    /path/to/ca_certs_for_client_authentication


    # HSTS (mod_headers is required) (15768000 seconds = 6 months)
    Header always set Strict-Transport-Security "max-age=15768000"
    ...
</VirtualHost>

# modern configuration, tweak to your needs
SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder     on
SSLCompression          off
SSLSessionTickets       off

# OCSP Stapling, only in httpd 2.3.3 and later
SSLUseStapling          on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache        shmcb:/var/run/ocsp(128000)