Article ID: 120083, created on Mar 31, 2015, last review on Mar 31, 2015

  • Applies to:
  • Plesk 12.0 for Linux
  • Plesk 11.0 for Linux
  • Plesk 11.5 for Linux
  • Plesk 12.0 for Windows

Kennzeichen

Der Server muss folgende PCI-Compliance-Anforderungen erfüllen:

  • SSL/TLS-Server so konfigurieren, dass nur TLS 1.1 oder TLS 1.2 verwendet wird, sofern unterstützt.
  • SSL/TLS-Server so konfigurieren, dass nur Chiffre-Folgen, die keine Blockchiffren verwenden, unterstützt werden.

Jedoch werden diese Protokolle von Plesk nicht standardmäßig unterstützt.

Ursache

Für die PCI Compliance wird verlangt, dass Sie die Protokolle 'TLS v1.1' und 'TLS v1.2' aktivieren, aber diese werden vom 'Apache' Webserver nur ab Version '2.2.23' unterstützt. Eben diese Version von Apache ist jedoch nicht in den standardmäßigen Linux Basisdistributionen enthalten.

Lösung

  1. Führen Sie ein Upgrade des 'openssl'-Pakets auf die Version 1.0 oder höher durch.

  2. Aktivieren Sie die Unterstützung des nginx Webservers.

    /usr/local/psa/admin/bin/nginxmng --enable
    
  3. Erstellen Sie ein benutzerdefiniertes Domain-Template für 'nginx':

    mkdir -p  /usr/local/psa/admin/conf/templates/custom/domain/
    cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain
    

    Bearbeiten Sie die Datei '/usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php', suchen Sie die Zeilen mit den Anweisungen 'ssl_protocols' und 'ssl_ciphers' und ersetzen Sie diese Zeilen mit folgenden:

    ssl_protocols    TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
    

    Speichern Sie die Datei

  4. Konfigurieren Sie den Webservice neu:

    /usr/local/psa/admin/bin/httpdmng --reconfigure-all
    

Zum Deaktivieren von SSLv3 für andere von Plesk verwaltete Services richten Sie sich bitte nach der Anleitung im Artikel #123160 [Plesk] CVE-2014-3566: POODLE-Angriff erzwingt Rückfall auf SSL 3.0"

a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c aea4cd7bfd353ad7a1341a257ad4724a 29d1e90fd304f01e6420fbe60f66f838 0a53c5a9ca65a74d37ef5c5eaeb55d7f 01bc4c8cf5b7f01f815a7ada004154a2 2a5151f57629129e26ff206d171fbb5f e335d9adf7edffca6a8af8039031a4c7 ed7be2b984f9c27de1d2dc349dc19c6d 85a92ca67f2200d36506862eaa6ed6b8 a766cea0c28e23e978fa78ef81918ab8

Email subscription for changes to this article
Save as PDF