Tls

SSL/TLS 密碼優先級

  • February 23, 2012

我正在努力了解與 SSL/TLS 密碼套件相關的 PCI DSS 合規性和 FIPS 合規性所需的內容。我一直在這里這裡閱讀指南。但是,我無法找到任何說明我應該列出密碼的順序或優先級的東西。我可以看到我需要使用和禁用哪些,但我認為應該為它們遵循優先級好。這主要用於 Windows 伺服器,然後我會考慮對執行 Apache 的 Linux 伺服器執行相同的操作。

這取決於 Windows/IIS 的版本。在 2003 (IIS 6) 和更早的版本中,無法做到這一點。您只能啟用/禁用密碼。在 Windows 2008 (IIS 7) 及更高版本中,您可以通過 GPO 執行此操作(如果您已加入域,並且我猜該伺服器不符合 PCI 標準)。

更多資訊在這裡:http ://technet.microsoft.com/en-us/library/cc766285(v=ws.10).aspx

為什麼你會假設需要優先級?

我從未聽說過任何合規標準都推薦了特定的優先級;畢竟,如果密碼不安全,則應將其關閉而不是降低優先級。

也就是說,在廣泛部署 TLS 1.1 之前,選擇 RC4 而不是 CBC 構造的密碼可能是明智的;請參閱CVE-2011-3389

引用自:https://serverfault.com/questions/362817