证书检测结果如上,但是 PCI DSS 怎样才能合规,并没有说明。
我猜不是因为 TLS1.0 TLS1.1 的原因,而是加密套件不安全:
2
Loyalsoldier OP @geekzu #1 谢谢!
|
3
xingxing460 2018-06-09 19:57:39 +08:00 via Android
禁用 TLSv1.0 1.1,只启用 TLS1.2 以上的协议就可以了。这样会不兼容旧客户端。
|
5
geekzu 2018-06-09 23:04:25 +08:00 via Android
@xingxing460 没有那么严格,一般只要 SSLLAB 评分能到 A 就完全可以通过,不需要关闭 TLS1.1 和 TLS1.0
@davidyin 没有人说不可以检查,只是说这个工具检测 PCI DSS 的功能废了而已 |
6
davidyin 2018-06-10 03:39:41 +08:00 via Android
@geekzu 我的意思是检查后 PCI DSS 是通过的。
![Screenshot_2018-06-09-05-23-43-503_Chrome.png]( https://i.loli.net/2018/06/10/5b1c2cac68416.png) |
7
dorentus 2018-06-10 10:51:01 +08:00 via iPhone
https://myssl.com/rubyist.today 我的这个也是通过的
|
8
Loyalsoldier OP |
9
geekzu 2018-06-10 23:19:36 +08:00
看了下最新的规范,6 月 30 日之后的要求是 支持 TLS1.2 并关闭 TLS1.0 及以下版本协议。
也就是说 myssl 的检测结果是对的,只不过没有说明是 6 月 30 日之后的规则。 楼上几位通过检测的应该都是关闭了 TLS1.0 的,和弱加密套件没什么关系。 |
11
razeen 2018-06-14 16:07:41 +08:00
原来合规的情况下,把 TLS v1.0 关了就合规了。
官方已经给出说明。 https://blog.myssl.com/pci-dss/ |
12
Loyalsoldier OP @razeen #11
感谢! |
13
Loyalsoldier OP @razeen #11
按照你发的文章的说明,停用了 TLS1.0 后,再检测,还是不合规。我用的配置如下: ``` ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DS; ``` SSL_CIPHERS 是用 https://mozilla.github.io/server-side-tls/ssl-config-generator/ 生成的:Nginx、Intermediate、1.10.3、1.0.2k |
14
Loyalsoldier OP |
15
razeen 2018-06-15 11:05:50 +08:00
<img src=http://chuantu.biz/t6/328/1529031797x-1404764547.png />
我将套件改成你一样了,是可以的。 <img src=http://chuantu.biz/t6/328/1529031891x-1566657555.png /> 你配置后重启 nginx 了么==。 |
16
razeen 2018-06-15 11:06:15 +08:00
|
17
razeen 2018-06-15 11:07:29 +08:00
http://chuantu.biz/t6/328/1529031891x-1566657555.png
阿西 v2 不支持回复图片么 再试试 [img]http://chuantu.biz/t6/328/1529031891x-1566657555.png[/img] |
18
Loyalsoldier OP |