HTTPS 证书部署如何做到 PCI DSS 合规？

myssl.com 网站最近炸了，所有站点检测 PCI DSS 都是不合规，无视即可

@geekzu #1 谢谢！

禁用 TLSv1.0 1.1，只启用 TLS1.2 以上的协议就可以了。这样会不兼容旧客户端。

@geekzu 可以检查，没有问题。

@xingxing460 没有那么严格，一般只要 SSLLAB 评分能到 A 就完全可以通过，不需要关闭 TLS1.1 和 TLS1.0

@davidyin 没有人说不可以检查，只是说这个工具检测 PCI DSS 的功能废了而已

@geekzu 我的意思是检查后 PCI DSS 是通过的。

https://myssl.com/rubyist.today 我的这个也是通过的

@geekzu #1
@xingxing460 #3
@davidyin #4
@dorentus #7

看附言

看了下最新的规范，6 月 30 日之后的要求是 支持 TLS1.2 并关闭 TLS1.0 及以下版本协议。
也就是说 myssl 的检测结果是对的，只不过没有说明是 6 月 30 日之后的规则。
楼上几位通过检测的应该都是关闭了 TLS1.0 的，和弱加密套件没什么关系。

@geekzu 对的,我检查了两次,两次不同的结果。

原来合规的情况下，把 TLS v1.0 关了就合规了。
官方已经给出说明。 https://blog.myssl.com/pci-dss/

@razeen #11
感谢！

@razeen #11

按照你发的文章的说明，停用了 TLS1.0 后，再检测，还是不合规。我用的配置如下：

```
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DS;
```

SSL_CIPHERS 是用 https://mozilla.github.io/server-side-tls/ssl-config-generator/ 生成的：Nginx、Intermediate、1.10.3、1.0.2k

@razeen #11

上面的配置在 myssl.com 刷新报告后检测出来，依然是显示支持 TLS1.0
这个很奇怪

<img src=http://chuantu.biz/t6/328/1529031797x-1404764547.png />

我将套件改成你一样了，是可以的。

<img src=http://chuantu.biz/t6/328/1529031891x-1566657555.png />

你配置后重启 nginx 了么==。

@razeen

http://chuantu.biz/t6/328/1529031891x-1566657555.png

阿西 v2 不支持回复图片么

再试试
[img]http://chuantu.biz/t6/328/1529031891x-1566657555.png[/img]

@razeen #16

Nginx 用 restart 命令重启的。奇怪了……