34717 2018-03-26 19:59:06 +0300 [PCI DSS Requirements, 30.06.2018] Миграция SSL --> TLSv1.2 2018-10-15 16:32:08 +0300 1 1 3 Distributions Branch p8 apache2 не указана all Linux CLOSED WORKSFORME P3 normal --- 1 mikhail.kasimov cas rider qa-p8 oldest_to_newest 169909 0 mikhail.kasimov 2018-03-26 19:59:06 +0300 Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому, воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в нужный раздел. 30 июня 2018, согласно нормативным документам PCI Security Standards Counsil, наступает дедлайн по миграции c SSL на TLSv1.2: [1] https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls (official info from PCI Security Standards site). "What happens on 30 June 2018? 30 June 2018 is the deadline for disabling SSL/early TLS and implementing a more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for safeguarding payment data." [1a, PDF] https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по части управления параметрами SSL/TLS с тем, чтобы для них были актуальны следующие параметры: - apache2: SSLProtocol TLSv1.2 - nginx: ssl_protocols TLSv1.2 ([2] http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols) [3] https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181 [4] TLSv1.3 ещё не в релизе: https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html Естественно, пользователи/админы и сами должны следить за актуальностью настроек безопасности, но со стороны ALT, как производителя, подобная инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю, нелишней. В том числе, например, выпуск какого-то security-анонса для своих потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой позитивный отклик в контексте дополнения пользовательской документации и обновления файлов конфигурации указанных веб-серверов. Спасибо! 170296 1 mikhail.kasimov 2018-04-06 16:42:09 +0300 (In reply to comment #0) > Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому, > воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в > нужный раздел. > > 30 июня 2018, согласно нормативным документам PCI Security Standards Counsil, > наступает дедлайн по миграции c SSL на TLSv1.2: > > [1] > https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls > (official info from PCI Security Standards site). > > "What happens on 30 June 2018? > > 30 June 2018 is the deadline for disabling SSL/early TLS and implementing a > more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly > encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for > safeguarding payment data." > > [1a, PDF] > https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf > > Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по > части управления параметрами SSL/TLS с тем, чтобы для них были актуальны > следующие параметры: > > - apache2: SSLProtocol TLSv1.2 > - nginx: ssl_protocols TLSv1.2 ([2] > http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols) > > > [3] > https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181 > [4] TLSv1.3 ещё не в релизе: > https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html > > > Естественно, пользователи/админы и сами должны следить за актуальностью > настроек безопасности, но со стороны ALT, как производителя, подобная > инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю, > нелишней. В том числе, например, выпуск какого-то security-анонса для своих > потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во > всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой > позитивный отклик в контексте дополнения пользовательской документации и > обновления файлов конфигурации указанных веб-серверов. > > Спасибо! + lighttpd 170297 2 mikhail.kasimov 2018-04-06 16:43:25 +0300 (In reply to comment #1) > (In reply to comment #0) > > Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому, > > воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в > > нужный раздел. > > > > 30 июня 2018, согласно нормативным документам PCI Security Standards Counsil, > > наступает дедлайн по миграции c SSL на TLSv1.2: > > > > [1] > > https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls > > (official info from PCI Security Standards site). > > > > "What happens on 30 June 2018? > > > > 30 June 2018 is the deadline for disabling SSL/early TLS and implementing a > > more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly > > encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for > > safeguarding payment data." > > > > [1a, PDF] > > https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf > > > > Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по > > части управления параметрами SSL/TLS с тем, чтобы для них были актуальны > > следующие параметры: > > > > - apache2: SSLProtocol TLSv1.2 > > - nginx: ssl_protocols TLSv1.2 ([2] > > http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols) > > > > > > [3] > > https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181 > > [4] TLSv1.3 ещё не в релизе: > > https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html > > > > > > Естественно, пользователи/админы и сами должны следить за актуальностью > > настроек безопасности, но со стороны ALT, как производителя, подобная > > инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю, > > нелишней. В том числе, например, выпуск какого-то security-анонса для своих > > потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во > > всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой > > позитивный отклик в контексте дополнения пользовательской документации и > > обновления файлов конфигурации указанных веб-серверов. > > > > Спасибо! > > + lighttpd /etc/lighttpd/lighttpd.conf https://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_SSL Конфигурация ====================== ssl.openssl.ssl-conf-cmd specify openssl config commands (e.g. ("Protocol" => "-ALL, TLSv1.2") restricts protocol to only TLS 1.2) (since 1.4.48) (commit https://redmine.lighttpd.net/projects/lighttpd/repository/revisions/c09acbeb8a030942d9825b3d0dd01c84e0a0b919) ====================== 174969 3 rider 2018-10-15 16:32:08 +0300 В нашей сборке apache2 нет конфигурационного файла по умолчанию для mod_ssl.