最近在站长之家查自己初杺分享网站的相关信息,注意到一个https评分的工具,其实就是借助著名的SSL/TLS安全评估报告MySSL(https://myssl.com/)查询,初杺分享的检查结果中显示:PCI DSS不合规。这还是初杺第一次看到,既然看到了就解决一下这个问题。
PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。
PCI安全标准委员会官方发表博文将于2018年6月30号(最晚)禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。
而MySSL则提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。
解决方案
评估兼容性后,禁用TLS1.0以达到PCI DSS合规
Nginx服务器下Apache的禁用TLS1.0方法
修改.conf文件的证书挂载代码(这个需要看个人之前是如何配置ssl的)中的ssl_protocols属性:
# 未知版本
ssl_protocols TLSv1.1 TLSv1.2;
# Apache 2.2.22版
SSLProtocol TLSv1.1
# Apache 2.2.23版
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1
# Apache + mod_nss版
NSSProtocol TLSv1.1,TLSv1.2Win服务器下Apache禁用TLS1.0方法
修改.conf文件的证书挂载代码(这个需要看个人之前是如何配置ssl的)中的ssl_protocols属性:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
后话:
TLS1.3都出来了,所以是时候禁用TLS1.0了,未来主流应该是TLS1.2+TLS1.3,可能有些站长会有疑问,禁用TLS1.0后的兼容性如何?兼容性方面其实是有一些影响的,比较老旧系统上自带的浏览器不支持,但主流用户使用的Chrome、Firefox、EDGE浏览器、Opera以及360、QQ、百度、搜狗等各种国内浏览器都基本支持,所以没有必要过多担心兼容性问题。
宝塔Linux为什么设置禁用TLSv1.0还不能用?
用户:
现在要求严格了.网站是TLSv1的会判定为不合规!
我用的宝塔面板发现在配置文件里把TLSv1给删除了也不行
后来找到的问题所在!就是需要把所有本服务器上的SSL网站的TLSv1都删除就好了.
评论(0)