Iis-6
IIS 6.0 上的 pci 合規性
我有一個網站剛剛未能通過 PCI 合規性檢查 - 報告稱該網站支持弱密碼。我以為我已經通過關閉網路伺服器上的 SSL 2.0 來禁用它。(如果我告訴瀏覽器只使用 SSL 2.0,它會拒絕載入網頁)
還有什麼我需要禁用或檢查的嗎?(這是一個網路農場,負載均衡器上有什麼我需要查看的 - 順便說一下,負載均衡器應該只是簡單地傳遞數據,加密/解密都在網路伺服器上完成)
Windows Server 2003、IIS 6.0、ASP.NET 2.0 網站。
- 更新 - -
通過 GregD 提供的連結,我已經解決了大部分問題。我仍然遇到證書不受信任的問題。SSL Labs 網站有用地提供了一些提示,說明為什麼會這樣(但在其他方面不是很明確):
證書可能不受信任的原因有很多:
- 它在其啟動日期之前使用*(它在日期內)*
- 它在到期日之後使用*(它在日期內)*
- 證書主機名與站點不匹配*(主機名和站點匹配)*
- 它已被撤銷*(我怎麼知道?)*
- 它是自簽名的(它是由威瑞信提供的)
- 頒發者不是知名的證書頒發機構*(威瑞信足夠知名嗎?)*
- 證書鏈不完整*(我怎麼知道?)*
Firefox 似乎對證書沒有問題,在地址欄上放置了一個漂亮的綠色區域。
它不僅僅是關閉 SSL 2.0。您還必須按照此MS KB 禁用弱加密算法。您的 PCI 掃描應該指出它發現的具體內容。
您可以使用https://www.ssllabs.com/ssldb/index.html之類的網站來測試您的 SSL 證書。
我見過這樣的案例,即託管多個站點,其中一個打開了 SSL。確保證書上的公用名也解析為公共 IP。
GregD 的建議也很好,我們必須進去修改允許的密碼。您的報告可能會抱怨 1 或 2 個,但請查看其他的,然後決定您需要哪些。我們的報告抱怨 56 位密碼,因此我們將其關閉。3 個月後,他們抱怨 60 位的…