网站 SSL 检测 PCI DSS 不合规的解决方法

leixue 系统相关 2018-07-13 15:24:40 阅读(...) 评论(9)

前段时间就随便检测了一下泪雪博客的 SSL 证书,就提示 PCI DSS 不合规,当时也没有在意,因为 PCI DSS 是属于支付卡行业安全标准,泪雪博客并不涉及,所以也没有影响,这不就在昨天有个朋友也发现这个问题了,所以昨天有空就简单的看了一下,然后顺便就解决一下。

PCI DSS

SSL 相信不用多说,就是网站需要安装 SSL 证书后,才能够开始 HTTPS 协议的访问,可以提升网站数据传输的安全性。

PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。

SSL test

早在去年 6 月 30 号 PCI 安全标准委员会官方发表博文将于 2018 年 6 月 30 号(最晚),也就是上月月底禁用早期 SSL/TLS,并实施更安全的加密协议(TLS v1.1 或更高版本,强烈建议使用 TLS v1.2)以满足 PCI 数据安全标准的要求,从而保护支付数据。

解决方法

通过了解,我们知道这是安全性要求升级了,如果原有站点没有禁用 TLS1.0 就将被提示不合规。

由于子凡的服务器使用的 NGINX 服务器环境,所以在对于网站的配置文件中删除 TLSv1 就搞定了,如下所示:

1
ssl_protocols TLSv1.1 TLSv1.2;

当然如果你的证书支持 1.3 也可以继续添加,当时不得不说的是,禁止老版本的协议可能会导致某些意想不到的问题,就像之前子凡因为把这个协议版本修改后就导致微博不能够正常抓取网站图片,就导致微博分享图片失败的情况。

所以考虑自身实际情况,当然子凡是非常建议大家及时跟进会比较好,即使就像泪雪博客没有支付相关的安全需求,但是较强的配置也能够在一定层面上提升网站的安全。

除非注明,否则均为泪雪博客原创文章,禁止任何形式转载

本文链接:https://zhangzifan.com/pci-dss.html

发表评论

  1. smile
    1楼
    smile 7个月前 (10-22)

    我按照你说的方法操作了,但是通过myssl.com网站检测依然是 PCI DSS不合规,莫非是LNMP(v1.5)稳定版)集成环境所导致的吗

    • 张子凡
      回复
      张子凡 7个月前 (10-22)
      回复 @smile :有可能是因为环境并没有将你的配置生效,可以配置好后重启一下服务。
      • smile
        回复
        smile 7个月前 (10-22)
        回复 @张子凡 :配置文件修改了数次,lnmp环境也重启了数次,服务器也重启了,依旧不行,不知道是不是和证书有关系,我检测了下你的网站"PCI DSS"这个也不合格,包括京东、天猫的也提示不合格,我彻底放心了,非常感谢站长帮忙!
        • 张子凡
          回复
          张子凡 7个月前 (10-25)
          回复 @smile :我的并没有关闭TLSv1.0,关闭后微博的抓取会有问题。
  2. 阿哲
    2楼
    阿哲 9个月前 (08-24)

    博主 请问一个问题啊 我刚刚测试你的网站发现只要十几秒就好了 我的网站得一两百秒 为什么啊 网站打开速度没啥问题 就是测试ssl很慢

    • 张子凡
      回复
      张子凡 9个月前 (08-25)
      回复 @阿哲 :你确定是几十秒?几十秒能打开的网站怕是没有人会看的吧,如果是ms毫秒的话,服务器开启ssl可以同步开启http/2。
  3. 小白白
    3楼
    小白白 10个月前 (07-19)

    如果是阿里云虚拟主机怎么办?使用CND安装的SSL证书

    • 张子凡
      回复
      张子凡 10个月前 (07-19)
      回复 @小白白 :咨询服务商吧
  4. 鸟叔
    4楼
    鸟叔 11个月前 (07-13)

    支持1.3比较难搞吧