1. <thead id="8qdxw"></thead>

      返回舊版| 微信建站| 建站之家論壇| 我要建站 | 建站學習 | 加入收藏
      建站經驗當前位置:首頁 > 建站經驗 > 正文

      SSL/TLS檢測PCI DSS不合規的解決方法

      發布時間:2019-01-06 10:07:55   來源:   點擊:
      如今越來越多的網站啟用了SSL/TLS即HTTPS加密傳輸協議,有些站長看到瀏覽器地址欄網址前面出現小綠鎖就以為部署完成,其實不然,SSL/TLS的服務也是分評級的,業內比較權威的檢測部署SSL/TLS是否符合行業最佳實踐有兩個標準,分別為支付卡行業安全標準PCI DSS和蘋果公司的ATS規范。

      所有iOS APP開發人員都知道早在2016年WWDC發布會上蘋果就宣布:提交到App Store的應用程序將要被強制采用ATS協議, App必須通過傳輸加密通道HTTPS連接網絡服務,來保證應用程序和Web服務之間的安全性。若日后仍采用明文HTTP傳輸數據的APP,將不能在Apple Store中被用戶下載使用。而PCI DSS全稱Payment Card Industry (PCI) Data Security Standard,是由PCI安全標準委員會的創始成員(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使國際上采用一致的數據安全措施,簡稱PCI DSS。

      這兩個標準如今成為行業衡量SSL/TLS是否最佳部署的重要標準,換言之只有同時通過了PCI DSS和Apple ATS測試,啟用的HTTPS才是安全合格的。

      如何檢測部署的SSL/TLS是否符合行業最佳實踐標準呢?

      可以通過一些網站在線檢測,比較知名的HTTPS檢測網站是 myssl.com 打開后輸入網站域名即可查詢結果。

      檢測通過會顯示評級、 PCI DSS和ATS均為合規:

      如果顯示PCI DSS 不合規,說明HTTPS還沒有完美部署,如圖:

      這是由于PCI安全標準委員會規定2018年6月30日之后,開啟TLS1.0將導致PCI DSS不合規。

      解決方案:

      評估兼容性后禁用TLS1.0,下面以nginx服務器為例介紹如何禁用TLS1.0。

      打開網站的.conf文件,需要說明的是此文件為網站的服務器配置文件,不是網站源碼文件,和網站源碼文件無關。

      復制到.conf文件的證書掛載代碼中,如圖:


      如果文件中已經存在ssl_protocols TLSv1 TLSv1.2 則用上面的代碼替換即可。

      修改后保存文件,重啟nginx服務即禁用了TLS1.0,重新檢測會顯示 PCI DSS 合規。

      后話:

      TLS1.3都出來了,所以是時候禁用TLS1.0了,未來主流應該是TLS1.2+TLS1.3,可能有些站長會有疑問,禁用TLS1.0后的兼容性如何?兼容性方面其實是有一些影響的,比較老舊系統上自帶的瀏覽器不支持,但主流用戶使用的Chrome、Firefox、EDGE瀏覽器、Opera以及360、QQ、百度、搜狗等各種國內瀏覽器都基本支持,所以沒有必要過多擔心兼容性問題。

      下圖中列出了哪些瀏覽器不支持TLS1.2和TLS1.3。


      版權所有:鄭州騰石網絡科技有限公司 備案信息:豫ICP備18019117號
      站長QQ:2863868475 業務合作咨詢:15137100750(同微信)
      本站所有投放的廣告是有其他網站提供,不代表本站立場,同時網站首頁廣告位對外出租詳情咨詢本站站長!同時歡迎廣大站長加入個人建站團隊
      • 建站客服
      • CMS仿站
      • CMS學習
      • 技術交流群:336572814
      福彩开奖