最近在站长之家查自己初杺分享网站的相关信息,注意到一个 https 评分的工具,其实就是借助著名的 SSL/TLS 安全评估报告 MySSL(https://myssl.com/) 查询,初杺分享的检查结果中显示:PCI DSS 不合规。这还是初杺第一次看到,既然看到了就解决一下这个问题。
PCI DSS,全称 Payment Card Industry Data Security Standard, 第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。
PCI 安全标准委员会官方发表博文将于 2018 年 6 月 30 号 (最晚) 禁用早期 SSL/TLS,并实施更安全的加密协议 (TLS v1.1 或更高版本, 强烈建议使用 TLS v1.2) 以满足 PCI 数据安全标准的要求,从而保护支付数据。
而 MySSL 则提前调整了 PCI DSS 合规判定标准 (在原有的标准之上,支持 TLS v1.0 或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。
解决方案
评估兼容性后,禁用 TLS1.0 以达到 PCI DSS 合规
Nginx 服务器下 Apache 的禁用 TLS1.0 方法
修改.conf 文件的证书挂载代码 (这个需要看个人之前是如何配置 ssl 的) 中的 ssl_protocols 属性:
# 未知版本
ssl_protocols TLSv1.1 TLSv1.2;
# Apache 2.2.22 版
SSLProtocol TLSv1.1
# Apache 2.2.23 版
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1
# Apache + mod_nss 版
NSSProtocol TLSv1.1,TLSv1.2Win 服务器下 Apache 禁用 TLS1.0 方法
修改.conf 文件的证书挂载代码 (这个需要看个人之前是如何配置 ssl 的) 中的 ssl_protocols 属性:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
后话:
TLS1.3 都出来了,所以是时候禁用 TLS1.0 了,未来主流应该是 TLS1.2+TLS1.3, 可能有些站长会有疑问,禁用 TLS1.0 后的兼容性如何?兼容性方面其实是有一些影响的,比较老旧系统上自带的浏览器不支持,但主流用户使用的 Chrome 、 Firefox 、 EDGE 浏览器、 Opera 以及 360 、 QQ 、百度、搜狗等各种国内浏览器都基本支持,所以没有必要过多担心兼容性问题。
宝塔 Linux 为什么设置禁用 TLSv1.0 还不能用?
用户:
现在要求严格了. 网站是 TLSv1 的会判定为不合规!
我用的宝塔面板发现在配置文件里把 TLSv1 给删除了也不行
后来找到的问题所在! 就是需要把所有本服务器上的 SSL 网站的 TLSv1 都删除就好了.
评论 (0)