PCI-Konformität unter IIS 6.0

7

Ich habe eine Website, die gerade eine PCI-Konformitätsprüfung nicht bestanden hat. Der Bericht besagt, dass die Website schwache Chiffren unterstützt. Ich dachte, ich hätte das bereits deaktiviert, indem ich SSL 2.0 auf den Webservern deaktiviert habe. (Es lehnt es ab, eine Webseite zu laden, wenn ich dem Browser sage, dass er nur SSL 2.0 verwenden soll.)

Muss ich noch etwas deaktivieren oder überprüfen? (Es ist eine Webfarm, gibt es irgendetwas auf dem Load Balancer, das ich mir ansehen muss? Übrigens sollte die LB die Daten einfach weiterleiten, die Verschlüsselung / Entschlüsselung erfolgt allesamt auf den Webservern.)

Windows Server 2003, IIS 6.0, ASP.NET 2.0-Website.

--- Update ---

Nachdem ich die von GregD bereitgestellten Links durchgesehen habe, habe ich die meisten Probleme gelöst. Ich bekomme immer noch das Problem, dass das Zertifikat nicht vertrauenswürdig ist. Die SSL Labs-Website gibt hilfreiche Hinweise, warum dies möglich ist (ansonsten ist das Thema jedoch nicht sehr explizit):

Es gibt viele Gründe, warum einem Zertifikat möglicherweise nicht vertraut wird:

  • Es wird vor dem Aktivierungsdatum verwendet (es ist im Datum)
  • Es wird nach seinem Ablaufdatum verwendet (es ist in Datum)
  • Der Hostname des Zertifikats stimmt nicht mit der Site überein (Hostname und Site stimmen überein).
  • Es wurde widerrufen (Wie kann ich sagen?)
  • Es ist selbst signiert (es ist von verisign)
  • Der Emittent ist keine bekannte Zertifizierungsstelle (Ist verisign bekannt genug?)
  • Die Zertifikatskette ist unvollständig (Wie kann ich sagen?)

Firefox scheint mit dem Zertifikat einverstanden zu sein und einen schönen grünen Bereich in der Adressleiste anzubringen.

Colin Mackay
quelle

Antworten:

7

Es geht ein wenig über das Ausschalten von SSL 2.0 hinaus. Sie müssen auch schwache Verschlüsselungsalgorithmen deaktivieren, indem Sie dieser MS KB folgen . Ihr PCI-Scan sollte darauf hingewiesen haben, was genau er gefunden hat.

Sie können eine Website wie https://www.ssllabs.com/ssldb/index.html zum Testen Ihrer SSL-Zertifikate verwenden.

GregD
quelle
Vielen Dank für den Link zu ssllabs - ich verstehe, was sie besser geschrieben haben als das PDF, das ich per E-Mail erhalten habe.
Colin Mackay
1

Ich habe Fälle wie diesen gesehen, in denen mehrere Websites gehostet wurden und auf einer SSL aktiviert ist. Stellen Sie sicher, dass der allgemeine Name auf dem Zertifikat auch in die öffentliche IP aufgelöst wird.

GregDs Vorschlag ist auch gut. Wir mussten die erlaubten Chiffren ändern. Ihr Bericht wird sich wahrscheinlich über 1 oder 2 beschweren, aber schauen Sie sich die anderen an und entscheiden Sie, welche Sie benötigen. Unser Bericht beschwerte sich über die 56-Bit-Chiffren, deshalb haben wir sie ausgeschaltet. 3 Monate später beschwerten sie sich über die 60-Bit ...

BillN
quelle
Ich habe alle Chiffren mit weniger als 128 Bit ausgeschaltet, damit wir dieses Problem hoffentlich nicht haben. Was meinst du mit "gebräuchlicher Name" auf dem Zertifikat? Und wie kann ich feststellen, ob die öffentliche IP-Adresse aufgelöst wird? (Ich gehe davon aus, dass dies die IP ist, unter der der Load Balancer die Site der Welt zugänglich macht.)
Colin Mackay
0

Führen Sie unter IIS 6 unter Windows 2003 einfach Folgendes in Ihre Registrierung ein:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:0000000

Quelle: http://blog.zenone.org/2009/03/pci-compliance-disable-sslv2-and-weak.html

NightOwl888
quelle