ฉันกำลังพยายามทำความเข้าใจสิ่งที่จำเป็นสำหรับการปฏิบัติตาม PCI DSS และการปฏิบัติตาม FIPS ที่เกี่ยวข้องกับชุดการเข้ารหัส SSL/TLS ผมได้อ่านคำแนะนำที่นี่และที่นี่ อย่างไรก็ตาม ฉันไม่พบสิ่งใดที่ระบุลำดับหรือลำดับความสำคัญที่ฉันควรแสดงรายการการเข้ารหัส ฉันสามารถดูว่าอันใดที่ฉันต้องใช้และปิดใช้งาน แต่ฉันคิดว่ามีลำดับความสำคัญที่ควรปฏิบัติตามสำหรับพวกเขา ดี. นี่เป็นหลักสำหรับเซิร์ฟเวอร์ Windows และหลังจากนั้นฉันจะดูการทำงานแบบเดียวกันกับเซิร์ฟเวอร์ Linux ที่ใช้ Apache

answer

ขึ้นอยู่กับเวอร์ชันของ Windows/IIS ในปี 2003 (IIS 6) และก่อนหน้านั้นไม่สามารถทำได้ คุณสามารถเปิด/ปิดการเข้ารหัสได้เท่านั้น ใน Windows 2008 (IIS 7) และใหม่กว่า คุณสามารถทำได้ผ่าน GPO (หากคุณเข้าร่วมโดเมน และฉันเดาว่าเซิร์ฟเวอร์นี้ไม่เป็นไปตามมาตรฐาน PCI)

ข้อมูลเพิ่มเติมที่นี่: http://technet.microsoft.com/en-us/library/cc766285(v=ws.10).aspx

ทำไมคุณถึงคิดว่าจำเป็นต้องมีลำดับความสำคัญ?

ไม่มีมาตรฐานการปฏิบัติตามข้อกำหนดที่ฉันเคยได้ยินมาแนะนำลำดับความสำคัญเฉพาะ เพราะหากรหัสไม่ปลอดภัยก็ควรปิดแทนที่จะลดลำดับความสำคัญ

ที่กล่าวว่าการเลือก RC4 มากกว่าการเข้ารหัสที่สร้างโดย CBC อาจเป็นเรื่องที่ฉลาดจนกว่า TLS 1.1 จะถูกปรับใช้อย่างกว้างขวาง ดูCVE-2011-3389