惊!出现SSL/TLS检测PCI DSS不合规的情况如何解决,禁用TLS1.0 阁主博客已解决!

原创 阁主  2018-08-13 20:21:34  阅读 2924 次 评论 3 条
摘要:

在21世纪欣欣向荣的互联网发展中,越来越多站长活开发者纷纷的给自己的站点或应用采用了SSL/TLS即HTTPS加密传输协议,前些天阁主曾意外载某友架设的站点上发现他也部署了SSL/TLS协议,下意识的去测试了一下其站点证书的可靠性。无意中发现其部署的SSL证书存在了PCI DSS“不合格”,经过检测本站也是“不合格”;由此才发现并非像大家眼中那样以为浏览器标识符有了绿色标识就说名证书搭建完成;其实不然,众所周知比较权威的检测部署SSL/TLS是否符合行业最佳实践有两个标准,分别为支付卡行业安全标准PCI DSS和苹果公司的ATS规范。如今这两个标准成为行业衡量SSL/TLS是否最佳部署的重要标准,总而言之只有同时通过了PCI DSS和Apple ATS测试,启用的HTTPS才是安全合格的。----由于本站使用又拍云CDN服务,所以先演示使用又拍云解决相应问题;话湖南那么久,不啰嗦了,马上切入正题,有效解决办法。

如何检测?

myssl.jpg

至于问道如何检测部署的SSL/TLS是否符合行业的相对实践标准呢?阁主也没有一个相对好的回答,目前自己也是通过又拍云的SSL/TLS安全评估来判别的。又拍云的检测也是myssl.com提供的。大家可以自行去对比检测结果。如果检测和合规将如下图所示。

检测合格.jpg

如果显示PCI DSS 不合规,说明HTTPS还没有完美部署,如图:

201808132050303707814.jpg

据悉这是由于PCI安全标准委员会规定2018年6月30日之后,开启TLS1.0将导致PCI DSS不合规。

解决方案①:

评估兼容性出现不合格后首先我们要禁用TLS1.0,下面以又拍云CDN服务控制面板服务器为例介绍如何禁用TLS1.0。

.1.打开又拍云控制面板

gzblog.jpg

.2.切换至HTTPS设置页

https.jpg

.3.详细步骤看图

步骤.jpg

.4.最后保存即可。记得重启Nginx服务呢。重新检测会显示 PCI DSS 合规。

检测合格.jpg


解决方案②:

评估兼容性出现不合格后首先我们要禁用TLS1.0,下面以Nginx为例介绍如何禁用TLS1.0。

.1.打开网站的.conf文件(该文件不是站点的任何源码文件,或者文件源代码)--该文件是网站的服务器配置文件,

步骤2.jpg

.2.综上述,目标还是要禁用TLS1.0。所以我们继续。如果有如图默认带TLS1.0的,手动更改1.2及以上版本就OK滴;如下图:

步骤3.jpg

附上代码:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

.3.最后保存即可。记得重启Nginx服务呢。重新检测会显示 PCI DSS 合规。

检测合格.jpg

后记:

其实对于TLS1.0版本其实相对于1.3已经很落后了,未来绝大部分针对的还是TLS1.2+TLS1.3的部署模式,有的站长会问禁用TLS1.0会不会对兼容性有一定的影响,万事并没有定律,阁主只想说既然必然淘汰,其适应的机会应该会更好跟上来,毕竟千万的互联网是有成千上万的IT互促的。说点实在的,肯定出了老旧的浏览器(IE不背锅)不支持以外,但是

Chrome、Firefox、EDGE浏览器、Opera以及360、QQ、百度、搜狗等各种国内浏览器都基本支持,所以没有必要过多担心兼容性问题。

下图中列出了哪些浏览器不支持TLS1.2和TLS1.3。

握手模拟.jpg

模拟结果图片由涂红伟博客下载。

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

本文地址:https://www.mainblog.cn/108.html
版权声明:本文为原创文章,版权归 阁主 所有,欢迎分享本文,转载请保留出处!
免责申明:有些内容源于网络,没能联系到作者。如侵犯到你的权益请告知,我们会尽快删除相关内容。

发表评论


表情

评论列表

  1. 阁主
    阁主  浏览器图标  系统图标 【站长】  @回复

    用心去做,敢望未来!

  2. 明月登楼
    明月登楼  浏览器图标  系统图标 【评论达人 LV.2】  @回复

    博主,也用又拍云呀?

  3. nice
    nice  浏览器图标  系统图标 【评论达人 LV.1】  @回复

    我想知道为啥中国移动网络打不开我站HTTPS,HTTP却可以打开,联通电信没这毛病,阿里云香港服务器~亚洲诚信的ssl