Проблема, передающая Trustwave Сканирование PCI из-за уязвимости ЗВЕРЯ

Я в своем конце остроумия с этим! Я не человек CI/сетей для начала, и таким образом, я приношу извинения, если я задаю неправильный вопрос неправильная информация.

Я работаю над попыткой заставить клиентский сайт передавать свое сканирование безопасности Trustwave так, чтобы она могла продолжить принимать кредитные карты. Вот временная шкала событий до сих пор:

1. 2 недели назад со мной связались для исправления проблемы на нашем клиентском сканировании сайта. Сканирование сказало, что мы перестали работать на 3 объектах из-за уязвимости ЗВЕРЯ (CVE-2011-3389)
2. Сайт находится в Windows Azure и был на очень раннем госте ОС, таким образом, я обновил гостя ОС до 3,2 на Windows Server 2012. Согласно Национальной Базе данных Уязвимости, эта уязвимость обсуждена в Бюллетене Защиты Microsoft MS12-006, который был обращен в гостевой ОС Azure версии 1.18 / 2.1.
3. Сканирование продолжало перестать работать на тех же 3 объектах, даже при том, что согласно документации MS, Windows Server 2012/IIS8 не произведен этой уязвимостью
4. Я затем загрузил инструмент IISCrypto и применил настройки BEAST и перезапустил. Это достало меня только к 1 уязвимости, о которой сообщают - (Клиент Предоставленные Возможности 'TLSv1: ALL:eNULL:aNULL'; Сервер Согласованный Блочный шифр 'TLSv1: AES128-SHA'). Только от того, что я думаю, что знаю об этом, это не имеет никакого смысла, так как шифры RC4 были все первыми. Как примечание стороны, Labs SSL сканер онлайн сообщил, что наш сайт больше не был уязвим для ЗВЕРЯ.
5. Я затем пошел для выжженной земли и деактивировал все шифры CBC, оставив только RC4 в попытке вызвать его независимо от того, что согласовать с шифром RC4. Сканирование все еще перестало работать на той же уязвимости, однако лаборатории SSL все еще сообщают, что наш сайт прекрасен.

Я действительно хочу протестировать это сам, однако как я сказал, это не мое реальное задание - я - разработчик, и в то время как я хочу узнать много о CI, у меня нет времени сегодня! Что я сделал, до сих пор используется мой openssl экземпляр для попытки запроса, поскольку я думаю, что Trustwave представляет его, чтобы видеть, могу ли я воссоздать их доказательство:

openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL"

Когда я выполняю это, я вижу, что это говорит TLSv1/SSLv3. Cipher is RC4-SHA, который привел бы меня полагать, что сканирование Trustwave является неправильным, но так как это - первый раз, когда я когда-либо делал что-либо как это с openssl, я даже не уверен, что использовал правильную команду/синтаксис. Кто-то может или помочь исправить мой синтаксис/проверять мой результат против того же сайта?

Править

Согласно Trustwave, описание проблемы ЗВЕРЯ:

Протокол SSL шифрует данные при помощи режима CBC с цепочечными векторами инициализации. Это позволяет взломщику, который является, получил доступ к сессии HTTPS через нападения man-in-the-middle (MITM) или другие средства, для получения HTTP-заголовков простого текста через выбранный blockwise - граничное нападение (BCBA) в сочетании с кодом JavaScript, который использует HTML5 WebSocket API, Java URLConnection API или Silverlight WebClient API. Эта уязвимость чаще всего упоминается как Использование Браузера Против SSL/TLS или "ЗВЕРЯ".

Согласно Trustwave, шаги для исправления:

Нужные пользователи должны отключить все основанные на блоке наборы шифров в конфигурации SSL сервера и только поддерживать шифры RC4, которые не уязвимы, чтобы полностью обратиться к этой уязвимости. Эта уязвимость была обращена в версии 1.1/1.2 TLS, однако, поддержка этих более новых версий TLS широко не поддерживается во время этой записи, мешая отключать более ранние версии. Кроме того, нужные пользователи могут также настроить SSL, чтобы предпочесть, чтобы шифры RC4 по основанным на блоке шифрам ограничили, но не устранили, воздействие. Нужные пользователи, которые реализуют методы установления приоритетов для смягчения, как описано выше, должны обратиться эта уязвимость и включать детали конфигурации SSL.

Я получил информацию в отношении инструмента IISCrypto от просто универсального поиска с помощью Google на этой прошлой неделе.

РЕДАКТИРОВАНИЕ 2: На запрос вот то, на что шифры похож в реестре:

[\AES 128/128]
"Enabled"=false
[\AES 256/256]
"Enabled"=false
[\DES 56/56]
"Enabled"=false
[\NULL]
"Enabled"=false
[\RC2 128/128]
"Enabled"=false
[\RC2 40/128]
"Enabled"=false
[\RC2 56/128]
"Enabled"=false
[\RC4 128/128]
"Enabled"=true
[\RC4 40/128]
"Enabled"=false
[\RC4 56/128]
"Enabled"=false
[\RC4 64/128]
"Enabled"=false
[\Triple DES 168/168]
"Enabled"=true