6

我们正在尝试在 AWS 上的负载平衡 EC2 实例上实现 PCI 合规性。我们必须解决的一个问题是我们的负载均衡器接受弱密码。但是,ELB 不支持密码套件,所以我必须手动设置每个密码。问题是,我找不到符合强密码条件的列表。例如,此设置转换为哪些密码:

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

很难找到这些信息,而且亚马逊没有默认的 PCI 兼容设置(这看起来很愚蠢——他们有两个默认策略,为什么不设置第三个称为“强 PCI”之类的)。

4

2 回答 2

6

更新/提示:请务必阅读 Seamus 的后续评论,以简化 ELB 设置的 PCI 认证,因为选择正确的 SSL 密码只是难题的一部分。


相当令人困惑 - 默认的 PCI 兼容Elastic Load Balancing (ELB)设置确实非常有用;)

您可以在SSLCipherSuite指令的 Apache 文档中找到所有这些标签,例如:

  • !aNULL - not没有认证
  • !ADH - 并非所有密码都使用匿名 Diffie-Hellman 密钥交换
  • !eNULL - not无编码
  • ...

这应该允许您将它们转换为相应的 ELB 设置,如创建具有 SSL 密码设置和后端服务器身份验证的负载均衡器和专门配置 SSL 密码中所述。

祝你好运!

于 2012-02-23T19:47:54.300 回答
0

我发现 AWS ELB SSL 密码的以下设置通过了我们使用的 PCI 合规性扫描:

协议:SSLv3、TLSv1

密码:CAMELLIA128-SHA、CAMELLIA256-SHA、KRB5-RC4-MD5、KRB5-RC4-SHA、RC4-MD5、RC4-SHA、SEED-SHA

此外,我发现这个网站有助于验证正在运行的协议/密码:https ://www.ssllabs.com/ssltest/index.html

于 2013-02-13T14:25:04.490 回答