1. Trang chủ
  2. Câu hỏi và trả lời
  3. Mật mã SSL nào tuân thủ PCI trên Amazon AWS ELB?

Mật mã SSL nào tuân thủ PCI trên Amazon AWS ELB?

2012-02-23 25 views
6

Chúng tôi đang cố gắng tuân thủ PCI trên một trường hợp EC2 cân bằng tải trên AWS. Một vấn đề chúng tôi phải giải quyết là cân bằng tải của chúng tôi chấp nhận mật mã yếu. Tuy nhiên, ELB không hỗ trợ bộ mã hóa, vì vậy tôi phải tự đặt từng mật mã một. Vấn đề là, tôi không thể tìm thấy một danh sách những gì đủ điều kiện như một mật mã mạnh. Ví dụ, mà thuật toán mã hóa không thiết lập này dịch để:Mật mã SSL nào tuân thủ PCI trên Amazon AWS ELB?

SSLCipherSuite ALL: aNULL: ADH: eNULL: LOW: EXP: RC4 + RSA: + CAO: + VỪA

Đó là đáng ngạc nhiên khó có thể tìm thông tin này và amazon không có cài đặt PCI mặc định (có vẻ ngớ ngẩn - chúng có hai chính sách mặc định, tại sao không có thứ ba được gọi là "PCI mạnh" hoặc thứ gì đó).

Nguồn

2012-02-23 Seamus James

Trả lời

6

Cập nhật/Gợi ý: Hãy chắc chắn đọc ý kiến ​​tiếp theo của Seamus để giúp bạn đạt được chứng nhận PCI về thiết lập ELB, trong khi việc chọn đúng mật mã SSL chỉ là một phần của câu đố .

Khá một câu đố - một PCI mặc định phù hợp Elastic Load Balancing (ELB) thiết lập sẽ là cực kỳ hữu ích thực sự;)

Bạn có thể tìm thấy tất cả các thẻ giải mã trong tài liệu Apache của chỉ thị SSLCipherSuite, ví dụ:

  • ! ANULL - không phải Không xác thực
  • ! ADH - không tất cả mật mã bằng cách sử dụng Ẩn danh Di ffie-Hellman trao đổi khóa
  • eNULL - không Không mã hóa
  • ...

này sẽ cho phép bạn dịch chúng để các thiết lập ELB tương ứng như đã thảo luận trong Creating a Load Balancer With SSL Cipher Settings and Back-end Server AuthenticationConfiguring SSL Ciphers đặc biệt.

Chúc may mắn!

Nguồn

2012-02-23 19:47:54

+1

tôi tìm thấy một vài liên kết rất hữu ích cho những người theo đuổi vấn đề này: Danh sách mật mã và điểm mạnh tương ứng của chúng: http://drjohnstechtalk.com/blog/2011/09/the-basics-of-how-to-work-with-ciphers/ Bài đăng về cách điều chỉnh cài đặt cân bằng tải bằng cách sử dụng các công cụ dòng lệnh có ví dụ: https://forums.aws.amazon.com/message.jspa?messageID=276031 Sử dụng các công cụ dòng lệnh, bạn có thể thêm chính sách loại bỏ từng cái một các mật mã vi phạm. –

+2

Vâng, chúng tôi đã nhận được chứng chỉ PCI của mình, nhưng không có nhiều thử nghiệm và lỗi.Một vài mẹo: -Đảm bảo bạn đang quét miền của mình, không phải IP của bạn (nếu bạn đang sử dụng bộ cân bằng tải). Ngoài ra, hãy chắc chắn rằng bạn thắt chặt máy chủ của bạn, ngay cả khi nó nằm phía sau bộ cân bằng tải. Nếu họ kết nối với IP của bạn, nó sẽ bỏ qua LB -Đảm bảo bạn mở tất cả các mật mã 256 và ít nhất một hoặc hai 128, hoặc bạn sẽ gặp vấn đề với IE8 và thấp hơn khả năng kết nối. -Hãy nhớ đăng ký chính sách của bạn sau khi bạn TẠO chính sách của bạn bằng cách đặt chính sách đó để nghe bài đăng 443. –

+0

@SeamusJames: Cảm ơn bạn đã theo dõi các chi tiết này để hướng dẫn người đọc trong tương lai, đánh giá cao - Mẹo của bạn có thể giúp người khác tiết kiệm thời gian trong các tình huống tương tự, tôi đã cập nhật câu trả lời của mình với một con trỏ tương ứng cho phù hợp! –

0

tôi thấy các cài đặt sau cho AWS ELB SSL mật mã thông qua quá trình quét PCI tuân thủ chúng tôi sử dụng:

Protocols: SSLv3, TLSv1

mật mã: CAMELLIA128-SHA, CAMELLIA256-SHA, krb5-RC4-MD5 , krb5-RC4-SHA, RC4-MD5, RC4-SHA, SEED-SHA

Bên cạnh đó, tôi thấy trang web này hữu ích để xác minh các giao thức/mật mã chạy: https://www.ssllabs.com/ssltest/index.html

Nguồn

2013-02-13 14:25:04 CharlesA

Các vấn đề liên quan

 Các vấn đề liên quan