我们正在尝试在 AWS 上的负载平衡 EC2 实例上实现 PCI 合规性。我们必须解决的一个问题是我们的负载均衡器接受弱密码。但是,ELB 不支持密码套件,所以我必须手动设置每个密码。问题是,我找不到符合强密码条件的列表。例如,此设置转换为哪些密码:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
很难找到这些信息,而且亚马逊没有默认的 PCI 兼容设置(这看起来很愚蠢——他们有两个默认策略,为什么不设置第三个称为“强 PCI”之类的)。
更新/提示:请务必阅读 Seamus 的后续评论,以简化 ELB 设置的 PCI 认证,因为选择正确的 SSL 密码只是难题的一部分。
相当令人困惑 - 默认的 PCI 兼容Elastic Load Balancing (ELB)设置确实非常有用;)
您可以在SSLCipherSuite指令的 Apache 文档中找到所有这些标签,例如:
这应该允许您将它们转换为相应的 ELB 设置,如创建具有 SSL 密码设置和后端服务器身份验证的负载均衡器和专门配置 SSL 密码中所述。
祝你好运!
我发现 AWS ELB SSL 密码的以下设置通过了我们使用的 PCI 合规性扫描:
协议:SSLv3、TLSv1
密码:CAMELLIA128-SHA、CAMELLIA256-SHA、KRB5-RC4-MD5、KRB5-RC4-SHA、RC4-MD5、RC4-SHA、SEED-SHA
此外,我发现这个网站有助于验证正在运行的协议/密码:https ://www.ssllabs.com/ssltest/index.html