调整 ssl_protocols 以便符合更严格的 PCI DSS 合规标准

最近明月为了使用 SSL 的 TLSv1.3 已经将 CDN 切换到又拍云 CDN 了,因为又拍云 CDN 已经全面支持 TLSv1.3 了,这么高大上的 CDN 明月没有理由不尝鲜支持的了。可是在通过又拍云的 HTTPS 安全检测的时候竟然出现了红色的“不合规”提示(如下图所示),很明显这不科学呀!PCI DSS 是个什么东东?为啥就不合规了呢?

第一时间明月就找度娘、谷姐使劲搜索了一下,基本上算是搞明白这个 PCI DSS 是什么了?也知道为啥不合规了,下面就给大家讲解一番:

PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。

PCI DSS 的合规与否直接影响了用户的数据安全,随着早前的 SSL/TLS 的安全性降低,PCI DSS 合规标准也随之调整。

早在去年 6 月 30 号 PCI 安全标准委员会官方发表博文将于 2018 年 6 月 30 号(最晚),也就是本月月底禁用早期 SSL/TLS,并实施更安全的加密协议(TLS v1.1 或更高版本,强烈建议使用 TLS v1.2)以满足 PCI 数据安全标准的要求,从而保护支付数据。

看到这里大家应该就明白了,所谓的 PCI DSS(第三方支付行业数据安全标准)“不合规”的提示,应该算是 HTTPS 安全检测 (其实就是MySSL.com)工具提前调整了 PCI DSS 合规判定标准(在原有的标准之上,支持 TLS v1.0 或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

解决办法是超级简单,明月就拿 Nginx 为例,只需在对应的站点配置文件里禁用 TLSv1.0 即可,下图即为最终修改后的:

修改完成保存退出,然后记得重启一下 Nginx 哦!

完成上述操作后再次检测就不会再有 PCI DSS 不合规的提示了,明月实测的时候也不知道是因为 CDN 缓存的原因还是啥原因,依然会显示 PCI DSS 不合规,不管了,反正只要是禁用了 TLSv1.0 就可以了,理论上这样就是合规的。

最新检测截图,不同 CDN 节点呈现的检测结果会有不同,看来真的是缓存原因

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180710G14NMG00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券