Описание тега dual-messenger
Я пытаюсь пройти сканирование PCI, я на Убунту сервер 12.04 ЛТС и nginx. Я пробовал все, что знаю и делал много исследований... по-видимому, кажется, что необходимо отключить установку в OpenSSL, который я не могу найти как это сделать.
Это результат сканирования:
Протокол SSL/TLS протокола инициализации вектора реализации уязвимость раскрытия информации в WWW (порт 443/TCP)
CVSS результат: средние 4.3 - незачет
Уязвимости CVE-2011-3389
и это предложил исправить сканером компанию PCI:
Настроить SSL/TLS-серверов использовать только TLS 1.1 и TLS 1.2, если поддерживается. Настроить SSL/TLS-серверов только поддержка шифров, которые не используют блочные шифры. Применять патчи, если таковые имеются.
В OpenSSL использует пустые фрагменты в качестве контрмеры, если опция 'SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS' определяется при помощи OpenSSL инициализируется.
Я не знаю как это сделать, я пробовала все, помогите я схожу с ума :)
Как я могу отключить эту SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
вариант???
Примечание: в протоколе TLSv1.1 и TLSv1.2 не включены прямо сейчас. Я обновлен до последней версии всех (Убунту 12.04 ЛТС, nginx1.2.7 и OpenSSL 1.0.1 ). Я читал, что последние версии заботится о проблеме (протокол TLS не поддерживается по умолчанию). Но я получаю точно такой же доклад от сканирования.
Ниже моя конфигурация веб-сервера, я сделал все, что было с шифрами, все еще получаю тот же результат:
сервера {
слушать 192.ХХХ.ХХ.ХХ:443 SSL;в
имя_сервера mydomain.org псевдоним *.mydomain.org;
необходимо 70;
# ssl_ciphers RC4 и выше:высокая:!аннулирует:!Алгоритм MD5:!kEDH;
ssl_ciphers протокола ECDHE-RSA-на-AES128-SHA256 на:AES128-GCM не-то SHA256:алгоритм RC4:высокая:!Алгоритм MD5:!аннулирует:!Эд;
ssl_prefer_server_ciphers на;
ssl_protocols протоколе TLSv1, приводящая к протоколу SSLv3.1 в протоколе TLSv1.2;
заканчивалось место в общий:статус:10м;
ssl_session_timeout 10м;