这是在Tomcat 7解决了与以下配置:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" acceptCount="100" keystoreFile="XXXXXXXXX" keystorePass="XXXXXXXXX" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA"/>
你从哪儿卫生署密码获取不允许用于PCI合规?据我所知,它们不是必需的(与不允许的完全不同),所以一些禁用它们是因为它们具有更多的计算开销。但是卫生署是与老年客户保持密切联系的唯一方式(如IE8)。 – 2014-10-31 21:16:39
从我的PCI DSS ASV 远程SSL/TLS服务器接受弱的Diffie-Hellman(DH)公共密钥值。 这个缺陷可以在开展对远程服务器的人在这方面的中间人(MITM)攻击帮助攻击者,因为它可以使一个完全可预测的Diffie-Hellman秘密的强制计算。 – Kevin 2014-11-03 11:46:09
这主要影响使用OpenSSL的系统(我们不这样做)。但是,我已经删除了这些密码,因此它正在标记为合规失败。 – Kevin 2014-11-03 11:47:16