Estou tentando fazer com que um servidor Fedora 14 executando o Apache 2.2.17 passe na verificação de conformidade com o PCI-DSS do McAfee ScanAlert. Minha primeira tentativa de usar as diretivas SSLCipherSuite e SSLProtocol padrão definidas em ssl.conf ...

SSLProtocol    ALL -SSLv2
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

falhou citando que cifras fracas foram ativadas. As verificações com ssllabs e ferramentas de servidores revelaram que as chaves de 40 e 56 bits estavam realmente disponívei

Eu mudei para ...

SSLProtocol -ALL +SSLv3 +TLSv1

e tentou todas as seguintes seqüências de caracteres relatadas em vários sites para passar verificações PCI de vários fornecedores ...

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLCipherSuite ALL:!ADH:!NULL:!EXP:!SSLv2:!LOW:!MEDIUM:RC4+RSA:+HIGH

Estou reiniciando o apache após atualizações e o apachectl configtest diz que minha sintaxe está correta. As varreduras subsequentes do ScanAlert falharam e outras ferramentas de varredura continuam mostrando as cifras de 40 e 56 bits disponíveis. Tentei adicionar SSLProtocol e SSLCipherSuite diretamente ao VirtualHost no httpd.conf e isso não ajudou.

Parece realmente que algo em algum lugar está substituindo essas configurações, mas não consigo encontrar nada em qualquer lugar que defina esses valores além de ssl.con

Se alguém puder fornecer um SSLCipherSuite em bom estado e que tenha passado em uma varredura PCI recente, ajudaria muito a rastrear meu problema.

Obrigado