最近在站长之家查自己博客的相关信息，注意到一个https评分的工具，其实就是借助著名的SSL/TLS安全评估报告 MySSL （https://myssl.com/）查询，余斗博客的检查结果中显示：PCI DSS不合规。 […]

最近在站长之家查自己博客的相关信息，注意到一个https评分的工具，其实就是借助著名的SSL/TLS安全评估报告MySSL（https://myssl.com/）查询，余斗博客的检查结果中显示：PCI DSS不合规。这还是余斗第一次看到，既然看到了就解决一下这个问题。

PCI DSS，全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准，是由PCI安全标准委员会制定，力在使国际上采用一致的数据安全措施。

PCI安全标准委员会官方发表博文将于2018年6月30号（最晚）禁用早期SSL/TLS，并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求，从而保护支付数据。

而MySSL则提前调整了PCI DSS合规判定标准（在原有的标准之上，支持TLS v1.0或更早的加密协议将会判定为不合规），方便您提前调整您的服务以避免违规的风险。

修改前检测结果

解决方案

评估兼容性后，禁用TLS1.0以达到PCI DSS合规

Nginx服务器下Apache的禁用TLS1.0方法

修改.conf文件的证书挂载代码（这个需要看个人之前是如何配置ssl的）中的ssl_protocols属性：

Win服务器下Apache禁用TLS1.0方法

修改.conf文件的证书挂载代码（这个需要看个人之前是如何配置ssl的）中的ssl_protocols属性：

修改后检测结果

后话：

TLS1.3都出来了，所以是时候禁用TLS1.0了，未来主流应该是TLS1.2+TLS1.3,可能有些站长会有疑问，禁用TLS1.0后的兼容性如何？兼容性方面其实是有一些影响的，比较老旧系统上自带的浏览器不支持，但主流用户使用的Chrome、Firefox、EDGE浏览器、Opera以及360、QQ、百度、搜狗等各种国内浏览器都基本支持，所以没有必要过多担心兼容性问题。

说点什么吧

• 全部评论（0）
• 最新 最早

还没有评论，快来抢沙发吧！