Apache禁用TLS1.0以符合PCI DSS合规标准的方法
网站建设 2022-07-27 09:12www.1681989.com免费网站
最近在站长之家查自己博客的相关信息,注意到一个https评分的工具,其实就是借助著名的SSL/TLS安全评估报告 MySSL (https://myssl./)查询,余斗博客的检查结果中显示PCI DSS不合规。 […]



最近在站长之家查自己博客的相关信息,注意到一个https评分的工具,其实就是借助著名的SSL/TLS安全评估报告MySSL(https://myssl./)查询,余斗博客的检查结果中显示PCI DSS不合规。这还是余斗第一次看到,既然看到了就解决一下这个问题。

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。

PCI安全标准委员会官方发表博文将于2018年6月30号(最晚)禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。

而MySSL则提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

修改前检测结果

解决方案

评估兼容性后,禁用TLS1.0以达到PCI DSS合规

Ngx服务器下Apache的禁用TLS1.0方法

修改.conf文件的证书挂载代码(这个需要看个人之前是如何配置ssl的)中的ssl_protocols属性


# 未知版本
ssl_protocols TLSv1.TLSv1.2;
# Apache 2.2.22版
SSLProtocol TLSv1.1
# Apache 2.2.23版
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1
# Apache + mod_nss版
NSSProtocol TLSv1.1,TLSv1.2
 

W服务器下Apache禁用TLS1.0方法

修改.conf文件的证书挂载代码(这个需要看个人之前是如何配置ssl的)中的ssl_protocols属性


SSLProtocol all -SSLv2 -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
 

修改后检测结果

后话

TLS1.3都出来了,所以是时候禁用TLS1.0了,未来主流应该是TLS1.2+TLS1.3,可能有些站长会有疑问,禁用TLS1.0后的兼容性如何?兼容性方面其实是有一些影响的,比较老旧系统上自带的浏览器不支持,但主流用户使用的Chrome、Firefox、EDGE浏览器、Opera以及360、QQ、百度、搜狗等各种国内浏览器都基本支持,所以没有必要过多担心兼容性问题。


Copyright © 2016-2025 www.1681989.com 推火网 版权所有 Power by