#34717 – [PCI DSS Requirements, 30.06.2018] Миграция SSL --> TLSv1.2

Bug 34717 - [PCI DSS Requirements, 30.06.2018] Миграция SSL --> TLSv1.2

Summary: [PCI DSS Requirements, 30.06.2018] Миграция SSL --> TLSv1.2

Status:	CLOSED WORKSFORME

Alias:	None

Product:	Branch p8
Classification:	Distributions
Component:	apache2 (show other bugs)
Version:	не указана
Hardware:	all Linux

Importance:	P3 normal
Assignee:	Andrey Cherepanov
QA Contact:	qa-p8@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2018-03-26 19:59 MSK by Mikhail Kasimov
Modified:	2018-10-15 16:32 MSK (History)
CC List:	1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Mikhail Kasimov 2018-03-26 19:59:06 MSK

Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому, воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в нужный раздел.

30 июня 2018, согласно нормативным документам PCI Security Standards Counsil, наступает дедлайн по миграции c SSL на TLSv1.2:

[1] https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls (official info from PCI Security Standards site).

"What happens on 30 June 2018?

30 June 2018 is the deadline for disabling SSL/early TLS and implementing a more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for safeguarding payment data."

[1a, PDF] https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf

Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по части управления параметрами SSL/TLS с тем, чтобы для них были актуальны следующие параметры:

- apache2: SSLProtocol TLSv1.2
- nginx: ssl_protocols TLSv1.2 ([2] http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols)


[3] https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181
[4] TLSv1.3 ещё не в релизе: https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html


Естественно, пользователи/админы и сами должны следить за актуальностью настроек безопасности, но со стороны ALT, как производителя, подобная инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю, нелишней. В том числе, например, выпуск какого-то security-анонса для своих потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой позитивный отклик в контексте дополнения пользовательской документации и обновления файлов конфигурации указанных веб-серверов.

Спасибо!

Comment 1 Mikhail Kasimov 2018-04-06 16:42:09 MSK

(In reply to comment #0)
> Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому,
> воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в
> нужный раздел.
> 
> 30 июня 2018, согласно нормативным документам PCI Security Standards Counsil,
> наступает дедлайн по миграции c SSL на TLSv1.2:
> 
> [1]
> https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls
> (official info from PCI Security Standards site).
> 
> "What happens on 30 June 2018?
> 
> 30 June 2018 is the deadline for disabling SSL/early TLS and implementing a
> more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly
> encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for
> safeguarding payment data."
> 
> [1a, PDF]
> https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf
> 
> Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по
> части управления параметрами SSL/TLS с тем, чтобы для них были актуальны
> следующие параметры:
> 
> - apache2: SSLProtocol TLSv1.2
> - nginx: ssl_protocols TLSv1.2 ([2]
> http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols)
> 
> 
> [3]
> https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181
> [4] TLSv1.3 ещё не в релизе:
> https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html
> 
> 
> Естественно, пользователи/админы и сами должны следить за актуальностью
> настроек безопасности, но со стороны ALT, как производителя, подобная
> инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю,
> нелишней. В том числе, например, выпуск какого-то security-анонса для своих
> потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во
> всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой
> позитивный отклик в контексте дополнения пользовательской документации и
> обновления файлов конфигурации указанных веб-серверов.
> 
> Спасибо!

+ lighttpd

Comment 2 Mikhail Kasimov 2018-04-06 16:43:25 MSK

(In reply to comment #1)
> (In reply to comment #0)
> > Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому,
> > воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в
> > нужный раздел.
> > 
> > 30 июня 2018, согласно нормативным документам PCI Security Standards Counsil,
> > наступает дедлайн по миграции c SSL на TLSv1.2:
> > 
> > [1]
> > https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls
> > (official info from PCI Security Standards site).
> > 
> > "What happens on 30 June 2018?
> > 
> > 30 June 2018 is the deadline for disabling SSL/early TLS and implementing a
> > more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly
> > encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for
> > safeguarding payment data."
> > 
> > [1a, PDF]
> > https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf
> > 
> > Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по
> > части управления параметрами SSL/TLS с тем, чтобы для них были актуальны
> > следующие параметры:
> > 
> > - apache2: SSLProtocol TLSv1.2
> > - nginx: ssl_protocols TLSv1.2 ([2]
> > http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols)
> > 
> > 
> > [3]
> > https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181
> > [4] TLSv1.3 ещё не в релизе:
> > https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html
> > 
> > 
> > Естественно, пользователи/админы и сами должны следить за актуальностью
> > настроек безопасности, но со стороны ALT, как производителя, подобная
> > инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю,
> > нелишней. В том числе, например, выпуск какого-то security-анонса для своих
> > потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во
> > всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой
> > позитивный отклик в контексте дополнения пользовательской документации и
> > обновления файлов конфигурации указанных веб-серверов.
> > 
> > Спасибо!
> 
> + lighttpd

/etc/lighttpd/lighttpd.conf

https://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_SSL

Конфигурация
======================
ssl.openssl.ssl-conf-cmd 	specify openssl config commands (e.g. ("Protocol" => "-ALL, TLSv1.2") restricts protocol to only TLS 1.2) (since 1.4.48) (commit https://redmine.lighttpd.net/projects/lighttpd/repository/revisions/c09acbeb8a030942d9825b3d0dd01c84e0a0b919)
======================

Comment 3 Anton Farygin 2018-10-15 16:32:08 MSK

В нашей сборке apache2 нет конфигурационного файла по умолчанию для mod_ssl.