Summary: | [PCI DSS Requirements, 30.06.2018] Миграция SSL --> TLSv1.2 | ||
---|---|---|---|
Product: | Branch p8 | Reporter: | Mikhail Kasimov <mikhail.kasimov> |
Component: | apache2 | Assignee: | Andrey Cherepanov <cas> |
Status: | CLOSED WORKSFORME | QA Contact: | qa-p8 <qa-p8> |
Severity: | normal | ||
Priority: | P3 | CC: | rider |
Version: | не указана | ||
Hardware: | all | ||
OS: | Linux |
Description
Mikhail Kasimov
2018-03-26 19:59:06 MSK
(In reply to comment #0) > Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому, > воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в > нужный раздел. > > 30 июня 2018, согласно нормативным документам PCI Security Standards Counsil, > наступает дедлайн по миграции c SSL на TLSv1.2: > > [1] > https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls > (official info from PCI Security Standards site). > > "What happens on 30 June 2018? > > 30 June 2018 is the deadline for disabling SSL/early TLS and implementing a > more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly > encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for > safeguarding payment data." > > [1a, PDF] > https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf > > Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по > части управления параметрами SSL/TLS с тем, чтобы для них были актуальны > следующие параметры: > > - apache2: SSLProtocol TLSv1.2 > - nginx: ssl_protocols TLSv1.2 ([2] > http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols) > > > [3] > https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181 > [4] TLSv1.3 ещё не в релизе: > https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html > > > Естественно, пользователи/админы и сами должны следить за актуальностью > настроек безопасности, но со стороны ALT, как производителя, подобная > инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю, > нелишней. В том числе, например, выпуск какого-то security-анонса для своих > потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во > всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой > позитивный отклик в контексте дополнения пользовательской документации и > обновления файлов конфигурации указанных веб-серверов. > > Спасибо! + lighttpd (In reply to comment #1) > (In reply to comment #0) > > Доброго времени! В багзилле ALT Linux нет раздела Security, поэтому, > > воспользуюсь разделом p8. При необходимости перенесите, пожалуйста, репорт в > > нужный раздел. > > > > 30 июня 2018, согласно нормативным документам PCI Security Standards Counsil, > > наступает дедлайн по миграции c SSL на TLSv1.2: > > > > [1] > > https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls > > (official info from PCI Security Standards site). > > > > "What happens on 30 June 2018? > > > > 30 June 2018 is the deadline for disabling SSL/early TLS and implementing a > > more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly > > encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for > > safeguarding payment data." > > > > [1a, PDF] > > https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Migrating_from_SSL_and_Early_TLS_Resource_Guide.pdf > > > > Поэтому, необходимо провести ревизию конфигов в пакетах apache2 и nginx по > > части управления параметрами SSL/TLS с тем, чтобы для них были актуальны > > следующие параметры: > > > > - apache2: SSLProtocol TLSv1.2 > > - nginx: ssl_protocols TLSv1.2 ([2] > > http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols) > > > > > > [3] > > https://serverfault.com/questions/848177/how-can-i-disable-tls-1-0-and-1-1-in-apache/848181#848181 > > [4] TLSv1.3 ещё не в релизе: > > https://www.ietf.org/mail-archive/web/ietf-announce/current/msg17592.html > > > > > > Естественно, пользователи/админы и сами должны следить за актуальностью > > настроек безопасности, но со стороны ALT, как производителя, подобная > > инициатива, включая и ревизию внутренней инфраструктуры, будет, полагаю, > > нелишней. В том числе, например, выпуск какого-то security-анонса для своих > > потребителей, условно говоря, за месяц до наступления дедлайна 30 июня 2018. Во > > всяком случае, предложенная ранее аналогичная идея в адрес SUSE, нашла свой > > позитивный отклик в контексте дополнения пользовательской документации и > > обновления файлов конфигурации указанных веб-серверов. > > > > Спасибо! > > + lighttpd /etc/lighttpd/lighttpd.conf https://redmine.lighttpd.net/projects/lighttpd/wiki/Docs_SSL Конфигурация ====================== ssl.openssl.ssl-conf-cmd specify openssl config commands (e.g. ("Protocol" => "-ALL, TLSv1.2") restricts protocol to only TLS 1.2) (since 1.4.48) (commit https://redmine.lighttpd.net/projects/lighttpd/repository/revisions/c09acbeb8a030942d9825b3d0dd01c84e0a0b919) ====================== В нашей сборке apache2 нет конфигурационного файла по умолчанию для mod_ssl. |