[HOWTO] PCI-DSS コンプライアンスのために脆弱な SSL 暗号を無効化するには

Created:

2016-11-16 13:23:14 UTC

Modified:

2017-05-25 19:43:48 UTC

0

Was this article helpful?


Have more questions?

リクエストを送信

[HOWTO] PCI-DSS コンプライアンスのために脆弱な SSL 暗号を無効化するには

症状

サーバは以下の PCI-DSS 要件を満たしている必要があります。

  • サポートされている場合、TLS 1.1 または TLS 1.2 のみを使用するように SSL/TLS サーバを構成する。
  • ブロック暗号を使用しない暗号化製品のみをサポートするように SSL/TLS サーバを構成する。

ただし、これらのプロトコルはデフォルトで Plesk にサポートされていません。

原因

PCI-DSS コンプライアンスは、 'TLS v1.1' プロトコルと 'TLS v1.2' プロトコルを有効化するように要求していますが、これらのプロトコルをサポートする 'Apache' ウェブサーバはバージョン '2.2.23' 以降です。この Apache バージョンは、デフォルトのベース Linux ディストリビューションに含まれていません。

解決策

  1. ' openssl ' パッケージをバージョン 1.0 以降にアップグレードします。

  2. ' nginx ' ウェブサーバのサポートを有効化します。

    /usr/local/psa/admin/bin/nginxmng --enable
  3. ' nginx ' のカスタムドメインテンプレートを作成します。

    mkdir -p  /usr/local/psa/admin/conf/templates/custom/domain/
    cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain

    ファイル ' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php ' を編集し、' ssl_protocols ' および ' ssl_ciphers ' ディレクティブのある行を探して、それらの行を以下のように置き換えます。

    ssl_protocols    TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

    ファイルを保存します。

    注: 上記の手順で問題が修正されない場合:"/usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php" の下で PCI-DSS のファイルをチェックして、' ssl_protocols ' の含まれる行を TLSv1.2 TLSv1.2 に置き換え、保存します。

  4. ウェブサービスを再構成します。

    /usr/local/psa/admin/bin/httpdmng --reconfigure-all

Plesk で管理するその他のサービスに対して SSLv3 を無効化するには、以下の記事の手順に従ってください。

#213410909 [Plesk] CVE-2014-3566:SSL 3.0 フォールバックを悪用する POODLE 攻撃

他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。