PCI規制に準拠するには、BEAST攻撃からサーバーを保護する必要があります。スキャンに合格するようにapache / openssl設定を正しく構成しましたが、これらの設定はサイトのhttps側で安全に取引できるクライアントブラウザを効果的に制限します。
私たちは使用していますCentos 6.5最終、OpenSSL 1.0.1e-fips 2013年2月11日
OpenSSLに特定またはすべてのパスワードを更新または追加する方法に関する情報が見つかりません。
質問1:暗号スイートはOpenSSLプログラム内で配布されますか、それとも暗号スイートのアドオンですか?アドインの場合はどのように更新しますか??
質問2:最新のOpenSSLバージョンに手動で更新する方法は?現在openssl-1.0.1i? (CentOSは最新バージョンであると主張しますが、そうではありません。)
ベストアンサー1
Q1:暗号化スイートはOpenSSLプログラム内に配布されていますか、それとも暗号スイートのアドオンですか?アドインの場合はどのように更新しますか?
暗号スイートはOpenSSLの一部として配布されるため、新しいパッケージにアクセスするにはパッケージをアップグレードする必要があります。
Q2:最新のOpenSSLバージョンに手動で更新する方法は?現在openssl-1.0.1i? (CentOSは最新バージョンであると主張しますが、そうではありません。)
FedoraリポジトリからソースRPMをインポートし、CentOS 6.5でビルドしたり、インターネットからCentOS 6.5用に事前に構築したRPMのいずれかを使用したりできます。
CentOS 6.5のインストールベースがかなり大きく、パッケージをすでに使用できるようにするには、他の人が作業している必要があるため、後者を選択します。
また、Red HatがOpenSSLを使用して行った修正のバックポートを理解したい場合があります。 CentOSの系統を考慮すると、これらの内容が含まれます。
から抜粋この回答
Heartbleedの脆弱性に対する修正は、Red Hat for Enterprise Linuxで1.0.1e-16にバックポートされているため、これはCentOSがリリースした公式の修正です。