返回舊版| 微信建站| 我要建站 | 建站學習 | 加入收藏
建站經驗當前位置:首頁 > 建站經驗 > 正文

SSL/TLS檢測PCI DSS不合規的解決方法

發布時間:2019-01-06 10:07:55   來源:   點擊:
如今越來越多的網站啟用了SSL/TLS即HTTPS加密傳輸協議,有些站長看到瀏覽器地址欄網址前面出現小綠鎖就以為部署完成,其實不然,SSL/TLS的服務也是分評級的,業內比較權威的檢測部署SSL/TLS是否符合行業最佳實踐有兩個標準,分別為支付卡行業安全標準PCI DSS和蘋果公司的ATS規范。

所有iOS APP開發人員都知道早在2016年WWDC發布會上蘋果就宣布:提交到App Store的應用程序將要被強制采用ATS協議, App必須通過傳輸加密通道HTTPS連接網絡服務,來保證應用程序和Web服務之間的安全性。若日后仍采用明文HTTP傳輸數據的APP,將不能在Apple Store中被用戶下載使用。而PCI DSS全稱Payment Card Industry (PCI) Data Security Standard,是由PCI安全標準委員會的創始成員(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使國際上采用一致的數據安全措施,簡稱PCI DSS。

這兩個標準如今成為行業衡量SSL/TLS是否最佳部署的重要標準,換言之只有同時通過了PCI DSS和Apple ATS測試,啟用的HTTPS才是安全合格的。

如何檢測部署的SSL/TLS是否符合行業最佳實踐標準呢?

可以通過一些網站在線檢測,比較知名的HTTPS檢測網站是 myssl.com 打開后輸入網站域名即可查詢結果。

檢測通過會顯示評級、 PCI DSS和ATS均為合規:

如果顯示PCI DSS 不合規,說明HTTPS還沒有完美部署,如圖:

這是由于PCI安全標準委員會規定2018年6月30日之后,開啟TLS1.0將導致PCI DSS不合規。

解決方案:

評估兼容性后禁用TLS1.0,下面以nginx服務器為例介紹如何禁用TLS1.0。

打開網站的.conf文件,需要說明的是此文件為網站的服務器配置文件,不是網站源碼文件,和網站源碼文件無關。

復制到.conf文件的證書掛載代碼中,如圖:


如果文件中已經存在ssl_protocols TLSv1 TLSv1.2 則用上面的代碼替換即可。

修改后保存文件,重啟nginx服務即禁用了TLS1.0,重新檢測會顯示 PCI DSS 合規。

后話:

TLS1.3都出來了,所以是時候禁用TLS1.0了,未來主流應該是TLS1.2+TLS1.3,可能有些站長會有疑問,禁用TLS1.0后的兼容性如何?兼容性方面其實是有一些影響的,比較老舊系統上自帶的瀏覽器不支持,但主流用戶使用的Chrome、Firefox、EDGE瀏覽器、Opera以及360、QQ、百度、搜狗等各種國內瀏覽器都基本支持,所以沒有必要過多擔心兼容性問題。

下圖中列出了哪些瀏覽器不支持TLS1.2和TLS1.3。


版權所有:鄭州騰石網絡科技有限公司 備案信息:豫ICP備18019117號
站長QQ:2863868475 業務合作咨詢:15137100750(同微信)
本站所有投放的廣告是有其他網站提供,不代表本站立場,同時網站首頁廣告位對外出租詳情咨詢本站站長!同時歡迎廣大站長加入個人建站團隊
  • 建站客服
  • CMS仿站
  • CMS學習
  • 技術交流群:336572814
棋牌app源码 甘肃快三走势图500期 吉林时时预测 福建时时快3结果走势图 陕西快乐十分预测号码 江苏快三开奖结果今天 河北时时直选 三肖三肖期期中特免费 山东时时怎么中奖号码 浙江快乐十分走势图基本走势 时时走势图