Estoy intentando que un servidor Fedora 14 que ejecuta Apache 2.2.17 pase un escaneo de cumplimiento PCI-DSS de McAfee ScanAlert. Mi primer intento de usar las directivas SSLCipherSuite y SSLProtocol predeterminadas establecidas en ssl.conf ...

SSLProtocol    ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

failed citando que las cifras débiles estaban habilitadas. Los escaneos con ssllabs y herramientas de servidor revelaron que las claves de 40 y 56 bits estaban realmente disponibles.

Luego cambié a ...

SSLProtocol -ALL +SSLv3 +TLSv1

y probé todas las siguientes cadenas informadas en varios sitios para pasar escaneos PCI de diversos proveedores ...

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

Reinicio apache después de las actualizaciones y apachectl configtest dice que mi sintaxis está bien. Los escaneos subsiguientes de ScanAlert han fallado y otras herramientas de escaneo continúan mostrando cifrados de 40 y 56 bits disponibles. Intenté agregar SSLProtocol y SSLCipherSuite directamente al VirtualHost en httpd.conf y eso no me ayudó.

Realmente parece que algo en algún lugar está anulando esta configuración, pero no puedo encontrar nada en ningún lugar que establezca estos valores que no sean ssl.conf.

Si alguien pudiera proporcionar un SSLCipherSuite bien conocido que haya pasado un escaneo PCI reciente, ayudaría mucho a localizar mi problema.

Gracias