解决HTTPS证书安全检测时提示 PCI DSS 不合规问题

解决HTTPS证书安全检测时提示 PCI DSS 不合规问题

今天在进行HTTPS证书安全检测时，提示PCI DSS不合规。经查询得知是因为SSL配置时启用了TLS1.0导致的。

关于 PCI DSS

自2018年6月30日起，PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0将不符合PCI支付卡行业安全标准。

PCI DSS，全称 Payment Card Industry Data Security Standard，第三方支付行业数据安全标准，是由 PCI 安全标准委员会制定，力在使国际上采用一致的数据安全措施。

解决办法(Nginx):

删除 TLSv1.0配置:

删除前的ssl_protocols部分配置如下:

ssl_protocols TLSv1.0 TLSv1.1 TLSv1.2; 

删除后的ssl_protocols部分配置如下:

# 删除 TLSv1.0 即可
ssl_protocols TLSv1.1 TLSv1.2; 

重启Nginx:

# 检测配置并重启
$ /usr/local/nginx-1.15.7/nginx -t
$ /usr/local/nginx-1.15.7/nginx -s reload

# or: 注意自己机器的中nginx的路径
$ /usr/local/nginx/sbin/nginx -s reload

注意，删除了以后，已存在一些问题，就是低版本的操作系统不再支持，比如在myssl网站进行客户端握手模拟的时候会提示握手失败：

IE 6 / XP       握手失败 （handshake_failure）
IE 7 / Vista	握手失败 （protocol_version）
IE 8 / XP       握手失败 （protocol_version）
IE 8-10 / Win 7	握手失败 （protocol_version）

参考链接:

https://www.infinisign.com/faq/disable-tls10-solve-pci-dss-warning

https://boke112.com/5571.html

[END]