解决HTTPS证书安全检测时提示 PCI DSS 不合规问题
今天在进行HTTPS证书安全检测时,提示PCI DSS不合规。经查询得知是因为SSL配置时启用了TLS1.0
导致的。
关于 PCI DSS
自2018年6月30日起,PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0
将不符合PCI支付卡行业安全标准。
PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。
解决办法(Nginx):
删除 TLSv1.0
配置:
删除前的ssl_protocols
部分配置如下:
ssl_protocols TLSv1.0 TLSv1.1 TLSv1.2;
删除后的ssl_protocols
部分配置如下:
# 删除 TLSv1.0 即可
ssl_protocols TLSv1.1 TLSv1.2;
重启Nginx:
# 检测配置并重启
$ /usr/local/nginx-1.15.7/nginx -t
$ /usr/local/nginx-1.15.7/nginx -s reload
# or: 注意自己机器的中nginx的路径
$ /usr/local/nginx/sbin/nginx -s reload
注意,删除了以后,已存在一些问题,就是低版本的操作系统不再支持,比如在myssl网站进行客户端握手模拟的时候会提示握手失败
:
IE 6 / XP 握手失败 (handshake_failure)
IE 7 / Vista 握手失败 (protocol_version)
IE 8 / XP 握手失败 (protocol_version)
IE 8-10 / Win 7 握手失败 (protocol_version)
参考链接:
https://www.infinisign.com/faq/disable-tls10-solve-pci-dss-warning
[END]