HTTPS 证书部署如何做到 PCI DSS 合规？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2357 天前的主题，其中的信息可能已经有所发展或是发生改变。

HTTPS 证书检测结果

证书检测结果如上，但是 PCI DSS 怎样才能合规，并没有说明。

第 1 条附言 · 2018-06-10 13:43:13 +08:00

我猜不是因为 TLS1.0 TLS1.1 的原因，而是加密套件不安全：

加密套件截图

dss

pci

证书

检测

18 条回复 • 2018-06-15 11:09:42 +08:00

geekzu

2018-06-09 16:34:52 +08:00 via Android

myssl.com 网站最近炸了，所有站点检测 PCI DSS 都是不合规，无视即可

Loyalsoldier

2018-06-09 16:49:33 +08:00

@geekzu #1 谢谢！

xingxing460

2018-06-09 19:57:39 +08:00 via Android

禁用 TLSv1.0 1.1，只启用 TLS1.2 以上的协议就可以了。这样会不兼容旧客户端。

davidyin

2018-06-09 20:25:16 +08:00 via Android

@geekzu 可以检查，没有问题。

geekzu

2018-06-09 23:04:25 +08:00 via Android

@xingxing460 没有那么严格，一般只要 SSLLAB 评分能到 A 就完全可以通过，不需要关闭 TLS1.1 和 TLS1.0

@davidyin 没有人说不可以检查，只是说这个工具检测 PCI DSS 的功能废了而已

davidyin

2018-06-10 03:39:41 +08:00 via Android

@geekzu 我的意思是检查后 PCI DSS 是通过的。
![Screenshot_2018-06-09-05-23-43-503_Chrome.png]( https://i.loli.net/2018/06/10/5b1c2cac68416.png)

dorentus

2018-06-10 10:51:01 +08:00 via iPhone

https://myssl.com/rubyist.today 我的这个也是通过的

Loyalsoldier

2018-06-10 13:43:52 +08:00

@geekzu #1
@xingxing460 #3
@davidyin #4
@dorentus #7

看附言

geekzu

2018-06-10 23:19:36 +08:00

看了下最新的规范，6 月 30 日之后的要求是支持 TLS1.2 并关闭 TLS1.0 及以下版本协议。
也就是说 myssl 的检测结果是对的，只不过没有说明是 6 月 30 日之后的规则。
楼上几位通过检测的应该都是关闭了 TLS1.0 的，和弱加密套件没什么关系。

dfly0603

2018-06-10 23:29:20 +08:00 via Android

@geekzu 对的,我检查了两次,两次不同的结果。

razeen

2018-06-14 16:07:41 +08:00

原来合规的情况下，把 TLS v1.0 关了就合规了。
官方已经给出说明。 https://blog.myssl.com/pci-dss/

Loyalsoldier

2018-06-14 16:13:02 +08:00

@razeen #11
感谢！

Loyalsoldier

2018-06-14 17:19:20 +08:00

@razeen #11

按照你发的文章的说明，停用了 TLS1.0 后，再检测，还是不合规。我用的配置如下：

```
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DS;
```

SSL_CIPHERS 是用 https://mozilla.github.io/server-side-tls/ssl-config-generator/ 生成的：Nginx、Intermediate、1.10.3、1.0.2k

Loyalsoldier

2018-06-14 17:20:21 +08:00

@razeen #11

上面的配置在 myssl.com 刷新报告后检测出来，依然是显示支持 TLS1.0
这个很奇怪

razeen

2018-06-15 11:05:50 +08:00

<img src=http://chuantu.biz/t6/328/1529031797x-1404764547.png />

我将套件改成你一样了，是可以的。

<img src=http://chuantu.biz/t6/328/1529031891x-1566657555.png />

你配置后重启 nginx 了么==。

razeen

2018-06-15 11:06:15 +08:00

@razeen
![]( http://chuantu.biz/t6/328/1529031797x-1404764547.png)

razeen

2018-06-15 11:07:29 +08:00

http://chuantu.biz/t6/328/1529031891x-1566657555.png

阿西 v2 不支持回复图片么

再试试
[img]http://chuantu.biz/t6/328/1529031891x-1566657555.png[/img]

Loyalsoldier

2018-06-15 11:09:42 +08:00

@razeen #16

Nginx 用 restart 命令重启的。奇怪了……