Отключение SSLv2 и Слабого кодирования | LeaderSSL

Отключение SSLv2 и слабого кодирования

Соответствие стандарту PCI - Отключение SSLv2 и слабого кодирования

В соответствии с Payment Card Industry Data Security Standard (PCI DSS), предприятия, использующие данные кредитных карт обязаны использовать устойчивые криптографические алгоритмы и протоколы, такие как- SSL/TLS или IPSEC, для защиты личных данных о держателях карт при их передаче по открытым общедоступным сетям.

Что это значит? Для того, чтобы соответствовать PCI DSS в этой области, Вы должны убедиться, что Ваши соответствующие серверы, связанные с PCI настроены на запрет Secure Sockets Layer (SSL) версии 2 и "слабого" кодирования. Вы также должны поддерживать ежеквартальное PCI сканирование на наличие уязвимости безопасности. Без отключения SSLv2 Вы почти гарантированно не пройдете это сканирование. В свою очередь это приведет к не соответствию PCI DSS вместе с вытекающими последствиями и рисками.

Загадка- SSLv2

Поддерживает ли Ваш сервер SSLv2?

Как узнать:

У Вас должно быть установлено OpenSSL, чтобы Вы могли провести тестирование. После установки используйте следующую команду для тестирования Вашего сервера (предполагая, что https соединение используется на порте 443):

# openssl s_client -ssl2 -connect SERVERNAME:443
Если сервер не поддерживает SSLv2 должна возникнуть ошибка:
# openssl s_client -ssl2 -connect SERVERNAME:443
CONNECTED(00000003)
458:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428:
Как настроить Apache v2 на запрет SSLv2 соединений:

Вам нужно будет изменить директиву SSLCipherSuite в файле httpd.conf или ssl.conf.
Примером может служить редактирование следующих строк на:
SSLProtocol -ALL +SSLv3 +TLSv1
Перезапустите Apache и убедитесь, что сервер функционирует. Также протестируйте отключение SSLv2, используя OpenSSL.
Как настроить Microsoft IIS на запрет SSLv2 соединений:
Вам нужно будет изменять реестр системы.
Соедините следующие ключи в реестре Windows:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
Перезапустите систему и убедитесь, что сервер функционирует. Также повторно проведите тестирование с использованием OpenSSL, чтобы убедиться, что SSLv2 больше не принимаются.

Слабое SSL кодирование
Поддерживает ли Ваш сервер слабое SSL кодирование
Как узнать:

У Вас должно быть установлено OpenSSL, чтобы Вы могли провести тестирование. После установки используйте следующую команду для тестирования Вашего сервера (предполагая, что https соединение используется на порте 443):
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
Если сервер не поддерживает слабое кодирование, то Вы получите ошибку:
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
CONNECTED(00000003)
461:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:226:
Как настроить Apache v2 на запрет слабого SSL кодирования:
Вам нужно будет изменить SSLCipherSuite директиву в httpd.conf или ssl.conf файле.
Примером может служить редактирование следующих строк на:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Перезапустите систему и убедитесь, что сервер функционирует. Также повторно проведите тестирование с использованием OpenSSL, чтобы убедиться, что слабое кодирование больше не принимается.



Как настроить Microsoft IIS на запрет слабого SSL кодирования:
Вам нужно будет изменить реестр системы.
Соедините следующие ключи в реестре Windows:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:0000000

Перезапустите систему и убедитесь, что сервер функционирует. Также повторно проведите тестирование с использованием OpenSSL, чтобы убедиться, что слабое кодирование больше не принимается..

Если Вы произвели указанные выше изменения, то при ASV(Approved Scanning Vendor) сканировании не выявятся следующие уязвимости:

SSL сервер поддерживает слабое кодирование SSL сервер разрешает Cleartext кодирование SSL сервер может быть вынужден использовать слабое кодирование SSL сервер разрешает анонимную аутентификацию