[Anleitung] Deaktivieren schwacher SSL-Chiffren für die PCI Compliance

Created:

2016-11-16 13:23:14 UTC

Modified:

2017-08-17 18:38:06 UTC

2

Was this article helpful?


Have more questions?

Anfrage einreichen

[Anleitung] Deaktivieren schwacher SSL-Chiffren für die PCI Compliance

Applicable to:

  • Plesk 12.0 for Linux
  • Plesk 11.0 for Linux
  • Plesk 11.5 for Linux
  • Plesk 12.0 for Windows

Kennzeichen

Der Server muss folgende PCI-Compliance-Anforderungen erfüllen:

  • SSL/TLS-Server so konfigurieren, dass nur TLS 1.1 oder TLS 1.2 verwendet wird, sofern unterstützt.
  • SSL/TLS-Server so konfigurieren, dass nur Chiffre-Folgen, die keine Blockchiffren verwenden, unterstützt werden.

Jedoch werden diese Protokolle von Plesk nicht standardmäßig unterstützt.

Ursache

Für die PCI Compliance wird verlangt, dass Sie die Protokolle 'TLS v1.1' und 'TLS v1.2' aktivieren, aber diese werden vom 'Apache' Webserver nur ab Version '2.2.23' unterstützt. Eben diese Version von Apache ist jedoch nicht in den standardmäßigen Linux Basisdistributionen enthalten.

Lösung

  1. Führen Sie ein Upgrade des ' openssl '-Pakets auf die Version 1.0 oder höher durch.

  2. Aktivieren Sie die Unterstützung des nginx Webservers.

    /usr/local/psa/admin/bin/nginxmng --enable
    
  3. Erstellen Sie ein benutzerdefiniertes Domain-Template für ' nginx ':

    mkdir -p  /usr/local/psa/admin/conf/templates/custom/domain/
    cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain
    

    Bearbeiten Sie die Datei ' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php ', suchen Sie die Zeilen mit den Anweisungen ' ssl_protocols ' und ' ssl_ciphers ' und ersetzen Sie diese Zeilen mit folgenden:

    ssl_protocols    TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
    

    Speichern Sie die Datei

  4. Konfigurieren Sie den Webservice neu:

    /usr/local/psa/admin/bin/httpdmng --reconfigure-all
    

Zum Deaktivieren von SSLv3 für andere von Plesk verwaltete Services richten Sie sich bitte nach der Anleitung im Artikel #123160 [Plesk] CVE-2014-3566: POODLE-Angriff erzwingt Rückfall auf SSL 3.0"

Haben Sie Fragen? Anfrage einreichen
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.