HTTPS证书部署出现PCI DSS不合规的解决办法

 懿古今   2018-08-14 10:13:30 发布  技术文档

站点部署HTTPS目前来看已经是大势所趋不可抵挡了,所以现在有很多博客网站都纷纷升级到 HTTPS,但是在部署 HTTPS 的时候,或多或少都可能会存在一些问题,那么我们就很有必要借助第三方平台(如myssl.com)来检测看看我们的评级是否达到 A+,PCI DSS 是否合规,ATS 是否合规等。今天我们重点来说一说 PCI DSS 不合规的问题。

HTTPS证书部署出现PCI DSS不合规的解决办法 - 第1张 - 懿古今(www.yigujin.cn)

PCI DSS

PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。

早在去年 6 月 30 号 PCI 安全标准委员会官方发表博文将于2018 年 6 月 30 号(最晚)禁用早期 SSL/TLS,并实施更安全的加密协议(TLS v1.1 或更高版本,强烈建议使用 TLS v1.2)以满足 PCI 数据安全标准的要求,从而保护支付数据。

随着时间的临近,我们提前调整了 PCI DSS 合规判定标准(在原有的标准之上,支持 TLS v1.0 或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

根据上面的介绍可知,从 2018 年 6 月 30 号起已经开始禁用早期 SSL/TLS,也就是禁用 TLSv1.0。换句话就是说如果站点还支持 TLSv1.0 加密协议的话就会被判定为 PCI DSS 不合规。如下图所示:

HTTPS证书部署出现PCI DSS不合规的解决办法 - 第2张 - 懿古今(www.yigujin.cn)

现在网络上很多部署 HTTPS 的教程里面都还是用到 TLSv1.0 解密协议,一般给出的 ssl_protocols 配置都是类似下面的做法:

  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

上述代码中的 TLSv1 其实就是 TLSv1.0,也就是说我们在配置 SSL 的时候如果还是用到 TLSv1 就会出现 PCI DSS 不合规。既然知道了问题所在,那么解决办法也就很简单了,直接在 SSL 配置中禁用 TLSv1.0,也就是直接删除 TLSv1,修改后的代码如下:

  1. ssl_protocols TLSv1.1 TLSv1.2;

如果你的站点环境支持 TLSv1.3,那么可以修改为:

  1. ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

修改好 ssl_protocols 之后,记得重启一下 nginx(平滑重启 nginx 命令:

/usr/local/nginx/sbin/nginx -s reload),然后到myssl.com重新检测,如果没有变化,点击右侧的“刷新报告”按钮刷新即可。如本站修改之后的检测报告如下:

HTTPS证书部署出现PCI DSS不合规的解决办法 - 第3张 - 懿古今(www.yigujin.cn)

如上图所示,本站把 SSL 配置中的 TLSv1 删除并重启 nginx 之后,PCI DSS 已经合规了。

如果你也是使用又拍云 CDN的话,记得到功能配置 - HTTPS - 往下拉找到“最低 TLS 版本”- 点击『管理』按钮 - 选择 TLSv1.1 并点击『确定』按钮。如下图所示:

HTTPS证书部署出现PCI DSS不合规的解决办法 - 第4张 - 懿古今(www.yigujin.cn)

这样在服务器上直接配置禁用 TLSv1.0,在又拍云上选择最低 TLS 版本为 TLSv1.1,那么可以说是万无一失了,检测报告中 PCI DSS 肯定是合规的了。有空的话,建议各位博主站长也检测一下自己站点是否存在 PCI DSS 不合规的情况,如果存在就按本文的办法折腾一下就行。

站长有话说

今天是在阁主博客中看到《惊!出现 SSL/TLS 检测 PCI DSS 不合规的情况如何解决,禁用 TLS1.0 阁主博客已解决!》这篇文章的时候才想起去检测自己的站点,没想到检测的结果竟然是 PCI DSS 不合规。所以就根据这篇文章和 Myssl.com 的解决方案《更严格的 PCI DSS 合规标准》解决了 PCI DSS 不合规的问题(其实整篇文章的核心就是删除 TLSv1 即可)。

本文地址:https://www.yigujin.cn/1728.html

你可能感兴趣的文章

文章标签: ,   ,  
版权声明:本文为原创文章,版权归 懿古今 所有,欢迎分享本文,转载请保留出处!发布此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请发邮件至[email protected],确认后马上更正、删除,谢谢!
淘宝和京东热销产品和VIP会员的优惠券推荐

发表评论

  1. 青山
    青山 @回复
    发表于2018-08-14 11:03  沙发

    刚刚看了下,都是绿色的嘿嘿

  2. 青山
    青山 @回复
    发表于2018-08-14 11:06  板凳

    不过有趣的是我查了下myssl.com,他PCI DSS显示不合格

    • 懿古今
      懿古今2018-08-14 21:15  回复

      @青山人家说这个是跟支付有关,像我们普通博客,其实是无须在意这个的

  3. 闲鱼
    闲鱼 @回复
    发表于2018-08-14 11:28  地板

    之前也把它设置为TLSv1.1了,又拍云蛮好使的 [呲牙]

    • 懿古今
      懿古今2018-08-14 21:15  回复

      @闲鱼是的,又拍云可以直接设置版本,我也是今天才改为从1.1开始

  4. 久伴博客
    久伴博客 @回复
    发表于2018-08-14 12:53  4楼

    我也是这个问题,感谢老古分享方案

    • 懿古今
      懿古今2018-08-14 21:14  回复

      @久伴博客[呲牙] 我也是看到其他博客的文章才发现自己的站点也有这个问题,然后就去掉TLSv1了

  5. 蒲公英
    蒲公英 @回复
    发表于2018-08-14 20:01  5楼

    说多了都是泪,TLSv1.0已经去掉一两个星期了,nginx也重启过了,现在依然提示不合规 [笑哭] (腾讯云的CDN)

    • 懿古今
      懿古今2018-08-14 21:13  回复

      @蒲公英估计应该是CDN问题,不知道腾讯云CDN是否可以像又拍云一样设置从TLSv1.1开始

  6. 姜辰
    姜辰 @回复
    发表于2018-08-15 12:58  6楼

    简单一点就是删除旧的呗= =、

    • 懿古今
      懿古今2018-08-16 10:01  回复

      @姜辰是的,如果开启有CDN的话,服务器端配置了禁用TLSv1.1也未必有用

  7. 康乐民博客
    康乐民博客 @回复
    发表于2018-08-16 08:11  7楼

    我特意查看了下yigujin.cn 虽然达到A+了,但还是显示不符合PCI DSS,老古你文章中的PCI DSS合规是PS上去的? [笑哭]

    • 懿古今
      懿古今2018-08-16 10:00  回复

      @康乐民博客[笑哭] 服务器端配置禁用了TLSv1.1,但是使用CDN,特别是同时使用多个CDN的话,有时候检测是合合规,有时候检测是不合规,反正这个是跟支付有关,而本博客没有支付,所以懒得理会了。

  8. B站
    B站 @回复
    发表于2018-08-16 11:34  8楼

    正在想怎么搞?

  9. 智宇
    智宇 @回复
    发表于2018-08-16 20:32  9楼

    最近一个站手机端老是被恶意劫持,看来https要提上日程了。

    • 懿古今
      懿古今2018-08-18 18:24  回复

      @智宇上HTTPS可以减少一些劫持,手机端的劫持确实挺多的,特别是运营商劫持更是防不胜防

  10. 简单生活
    简单生活 @回复
    发表于2018-08-17 13:59  10楼

    这个早就搞了,剩下TLS1.3,宝塔还不支持,自己也懒得折腾,等后续吧…

  11. 大事记
    大事记 @回复
    发表于2018-08-17 15:23  11楼

    emm,这个是篇技术文章啊,只有遇到困难的时候,才有技术可写

    • 懿古今
      懿古今2018-08-18 18:22  回复

      @大事记是的,折腾了就会遇到问题,遇到问题了才会有思路写文章,要不然都不懂更新什么。

  12. 土蜂蜜网
    土蜂蜜网 @回复
    发表于2018-08-25 15:51  12楼

    都是积累

  13. 小姚工作室
    小姚工作室 @回复
    发表于2019-04-18 13:21  13楼

    www-xiaoyaogzs-om评分A,xiaoyaogzs-com为T,不知道咋弄了 [笑哭]