PCI規制に準拠するには、BEAST攻撃からサーバーを保護する必要があります。スキャンに合格するようにapache / openssl設定を正しく構成しましたが、これらの設定はサイトのhttps側で安全に取引できるクライアントブラウザを効果的に制限します。
私たちは使用していますCentos 6.5最終、OpenSSL 1.0.1e-fips 2013年2月11日
OpenSSLに特定またはすべてのパスワードを更新または追加する方法に関する情報が見つかりません。
質問1:暗号スイートはOpenSSLプログラム内で配布されますか、それとも暗号スイートのアドオンですか?アドインの場合はどのように更新しますか??
質問2:最新のOpenSSLバージョンに手動で更新する方法は?現在openssl-1.0.1i? (CentOSは最新バージョンであると主張しますが、そうではありません。)
答え1
Q1:暗号化スイートはOpenSSLプログラム内に配布されていますか、それとも暗号スイートのアドオンですか?アドインの場合はどのように更新しますか?
暗号スイートはOpenSSLの一部として配布されるため、新しいパッケージにアクセスするにはパッケージをアップグレードする必要があります。
Q2:最新のOpenSSLバージョンに手動で更新する方法は?現在openssl-1.0.1i? (CentOSは最新バージョンであると主張しますが、そうではありません。)
FedoraリポジトリからソースRPMをインポートし、CentOS 6.5でビルドしたり、インターネットからCentOS 6.5用に事前に構築したRPMのいずれかを使用したりできます。
CentOS 6.5のインストールベースがかなり大きく、パッケージをすでに使用できるようにするには、他の人が作業している必要があるため、後者を選択します。
また、Red HatがOpenSSLを使用して行った修正のバックポートを理解したい場合があります。 CentOSの系統を考慮すると、これらの内容が含まれます。
から抜粋この回答
Heartbleedの脆弱性に対する修正は、Red Hat for Enterprise Linuxで1.0.1e-16にバックポートされているため、これはCentOSがリリースした公式の修正です。
答え2
OpenSSLはツールとライブラリのセットです。 TLS暗号化サービスを提供するアプリケーションはこれらのライブラリを使用します(通常のgnutlsまたはJavaライブラリを使用しない限り)。
暗号スイートはこれらのライブラリに実装されています。最新の暗号スイートが必要な場合は、このライブラリを更新する必要があります。 OSリポジトリに最新のエントリがない場合は、リポジトリURLを代替サイトまたはより高いOSバージョンに変更すると問題が解決する可能性があります(Debianではこれを正常に実行しました)、これが可能かどうかはわかりません。 CentOSを使用して完了しました。もちろん、プリコンパイルされたパッケージを見つけたり、直接コンパイルすることもできます。
Apache Webサーバーのパスワードを制限するには、Apacheのssl.confを使用してください。一方、サフィックスのパスワードを変更するには、設定tls_high_cipherlist(と一緒に使用smtp(d)_tls_mandatory_ciphers=high)でパスワードを設定します。
あるサービスでは安全ではないと見なされることが他のサービスではまだ許可される可能性があるため、この構成アプリケーション(=サービス)を具体的に作成するのは妥当です。