HTTPS 证书部署如何做到 PCI DSS 合规?

2018-06-09 15:53:58 +08:00
 Loyalsoldier

证书检测结果如上,但是 PCI DSS 怎样才能合规,并没有说明。

5126 次点击
所在节点    SSL
18 条回复
geekzu
2018-06-09 16:34:52 +08:00
myssl.com 网站最近炸了,所有站点检测 PCI DSS 都是不合规,无视即可
Loyalsoldier
2018-06-09 16:49:33 +08:00
@geekzu #1 谢谢!
xingxing460
2018-06-09 19:57:39 +08:00
禁用 TLSv1.0 1.1,只启用 TLS1.2 以上的协议就可以了。这样会不兼容旧客户端。
davidyin
2018-06-09 20:25:16 +08:00
@geekzu 可以检查,没有问题。
geekzu
2018-06-09 23:04:25 +08:00
@xingxing460 没有那么严格,一般只要 SSLLAB 评分能到 A 就完全可以通过,不需要关闭 TLS1.1 和 TLS1.0

@davidyin 没有人说不可以检查,只是说这个工具检测 PCI DSS 的功能废了而已
davidyin
2018-06-10 03:39:41 +08:00
@geekzu 我的意思是检查后 PCI DSS 是通过的。
![Screenshot_2018-06-09-05-23-43-503_Chrome.png]( https://i.loli.net/2018/06/10/5b1c2cac68416.png)
dorentus
2018-06-10 10:51:01 +08:00
https://myssl.com/rubyist.today 我的这个也是通过的
Loyalsoldier
2018-06-10 13:43:52 +08:00
@geekzu #1
@xingxing460 #3
@davidyin #4
@dorentus #7

看附言
geekzu
2018-06-10 23:19:36 +08:00
看了下最新的规范,6 月 30 日之后的要求是 支持 TLS1.2 并关闭 TLS1.0 及以下版本协议。
也就是说 myssl 的检测结果是对的,只不过没有说明是 6 月 30 日之后的规则。
楼上几位通过检测的应该都是关闭了 TLS1.0 的,和弱加密套件没什么关系。
dfly0603
2018-06-10 23:29:20 +08:00
@geekzu 对的,我检查了两次,两次不同的结果。
razeen
2018-06-14 16:07:41 +08:00
原来合规的情况下,把 TLS v1.0 关了就合规了。
官方已经给出说明。 https://blog.myssl.com/pci-dss/
Loyalsoldier
2018-06-14 16:13:02 +08:00
@razeen #11
感谢!
Loyalsoldier
2018-06-14 17:19:20 +08:00
@razeen #11

按照你发的文章的说明,停用了 TLS1.0 后,再检测,还是不合规。我用的配置如下:

```
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DS;
```

SSL_CIPHERS 是用 https://mozilla.github.io/server-side-tls/ssl-config-generator/ 生成的:Nginx、Intermediate、1.10.3、1.0.2k
Loyalsoldier
2018-06-14 17:20:21 +08:00
@razeen #11

上面的配置在 myssl.com 刷新报告后检测出来,依然是显示支持 TLS1.0
这个很奇怪
razeen
2018-06-15 11:05:50 +08:00
<img src=http://chuantu.biz/t6/328/1529031797x-1404764547.png />

我将套件改成你一样了,是可以的。

<img src=http://chuantu.biz/t6/328/1529031891x-1566657555.png />

你配置后重启 nginx 了么==。
razeen
2018-06-15 11:06:15 +08:00
razeen
2018-06-15 11:07:29 +08:00
Loyalsoldier
2018-06-15 11:09:42 +08:00
@razeen #16

Nginx 用 restart 命令重启的。奇怪了……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/461748

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX