在 apache 2.2.22 上通過 PCI 掃描

我們使用的是 Ubuntu 12.04 和 apache 2.2.2 版本。我們在我們的網站上進行了 PCI 掃描，發現了 2 個我們無法控制的漏洞。第一個是 BEAST 攻擊，另一個是 SSL RC4 Cipher Suites Supported。

到目前為止，我已經嘗試過看起來很有希望的方法。在尋求幫助後，我嘗試了更多更改，但這些更改反過來又開始破壞瀏覽器並被丟棄。

SSLProtocol -SSLv2 -TLSv1 +SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:!MD5:!aNULL:!EDH
SSLCompression off

或者

SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
SSLCompression off

根據 ssllabs 的掃描結果，我只能緩解其中一個漏洞。我需要做哪些更改才能解決這兩個漏洞並支持目前版本的瀏覽器？

好吧，BEAST 的緩解措施（除了專門使用 TLS 1.1/1.2，您的伺服器現在不能這樣做）是使用 RC4。

因此，可能不可能以不會被標記為易受攻擊的方式配置您的伺服器。如果您絕對必須擺脫這些漏洞，您可能需要將 OS 包的 OpenSSL 安裝替換為較新版本的第三方包，或從原始碼編譯。

如今，BEAST 攻擊通常通過1/n-1 記錄拆分來緩解，因為 RC4 被認為太弱而無法在今天使用。檢查您的發行版的安全公告以獲取更新的 OpenSSL，它實現了 1/n-1 記錄拆分，解決了 CVE-2011-3389。（請注意，Ubuntu 似乎已經擁有它。）

當然，使用支持 TLS 1.2 的伺服器是首選解決方案。

引用自：https://serverfault.com/questions/541648