[How-To] Desactivación de ciphers SSL poco seguros para el cumplimiento de la normativa PCI

Created:

2016-11-16 13:23:14 UTC

Modified:

2017-08-17 18:38:06 UTC

2

Was this article helpful?


Have more questions?

Enviar una solicitud

[How-To] Desactivación de ciphers SSL poco seguros para el cumplimiento de la normativa PCI

Applicable to:

  • Plesk 12.0 for Linux
  • Plesk 11.0 for Linux
  • Plesk 11.5 for Linux
  • Plesk 12.0 for Windows

El servidor debería cumplir los siguientes requisitos de cumplimiento de la normativa PCI:

  • Los servidores SSL/TLS deberían configurarse de tal forma que solo usaran TLS 1.1 o TLS 1.2, de soportarse
  • Los servidores SSL/TLS deberían configurarse de tal forma que solo soportaran suites de ciphers que no utilicen cifrado por bloques

De todos modos, Parallels Plesk no soporta estos protocolos por omisión.

El cumplimiento de la normativa PCI requiere la activación de los protocolos 'TLS v1.1' y 'TLS v1.2' , pero el servidor web 'Apache' solo los soporta a partir de la versión '2.2.23' . Esta versión particular de Apache no se incluye en las distribuciones base predeterminadas de Linux.

Resolución

  1. Actualice el paquete ' openssl ' a la versión 1.0 o a una versión posterior.

  2. Active el soporte para el servidor web ' nginx '.

    /usr/local/psa/admin/bin/nginxmng --enable
    
  3. Cree una plantilla de dominio personalizada para ' nginx ':

    mkdir -p  /usr/local/psa/admin/conf/templates/custom/domain/
    cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain
    

    Edite el archivo ' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php ', localice las líneas con las directivas ' ssl_protocols ' y ' ssl_ciphers ' y reemplácelas por lo siguiente:

    ssl_protocols    TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
    

    Guarde el archivo

  4. Vuelva a configurar el servicio web:

    /usr/local/psa/admin/bin/httpdmng --reconfigure-all
    

Para desactivar SSL 3.0 para otros servicios gestionados por Plesk, siga las instrucciones proporcionadas en este artículo de nuestra base de conocimiento.

¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.