本文作者:非李莫属

聊聊网站启用SSL后让PCIDSS合规,让评价达到A+级别

非李莫属 4周前 ( 02-25 14:12 ) 374 14条评论
摘要: 目前来说无论是个人站长还是企业官网基本上都启用了HTTPS,这里就不在赘述为什么启用https了,网站类似的文章一搜一大把,今天且来聊聊怎么让证书检测的时候呈现A+标签,有钱的大佬...

目前来说无论是个人站长还是企业官网基本上都启用了HTTPS,这里就不在赘述为什么启用https了,网站类似的文章一搜一大把,今天且来聊聊怎么让证书检测的时候呈现A+标签,有钱的大佬(买SSL证书的)您可以离开了,毕竟在看下去就是耽误你的时间啦。

SSL.jpg

我使用SSL/TLS安全评估报告官网检测的,网址文章底部有,感兴趣的童鞋可以是测试下,首先上图,看下我的检测结果:

image.png

评级:A+

ATS:合规

PCI DSS:合规

如果你也希望这样那么跟我一起优化呗,首先确保你网站的SSL证书检测是A级别,正常来说免费的SSL证书,无论是腾讯云还是阿里云又或者其他证书机构都应该是A级别的。然后我们才能锦上添花,将评级提升至A+,其他检测结果不到A+官网已经给出了解决办法,一起来看看怎么说的:

如何达到A+ 

首先要是,这个评分,并不仅仅是针对于证书的部署情况而言的,这是一个多方面综合的评级。其中包括了证书、SSL协议、加密套件、漏洞、不安全的外链等等。如果您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息即可。

Nginx:

add_header Strict-Transport-Security "max-age=31536000";

需要注意的是Strict-Transport-Security中的max-age的时间不能小于15552000秒。

教程官网给出了,但是这个什么http头信息放在哪?怎么放啊?没有说明啊,其他这个很简单,只需要放在你网站的伪静态规则就行,如果是宝塔主机的话,不放在伪静态里面,放在网站配置文件里面是最好的。

步骤:如下,登录你的宝塔面板,然后左侧---网站---找到你的网站,最右侧有个设置,点击设置---然后在弹出的对话框找到左侧的---配置文件---看图

image.png

直接天下如上代码,保存,然后重载配置或者重启nginx服务即可,然后在回到MySSL官网更新报告就OK了,你就会发现已经SSL已经提升至A+级别,看着很舒服啊。这是强迫症患者可能会发现,为什么你检测的PCI DSS合规,我的却显示不合规呢?就你眼尖是么,夸夸你观察力惊人是么?切。关于这个问题,我们就要先了解下什么是PCI DSS?

按照官方的说法是:

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。

早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。

随着时间的临近,我们提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

解决此问题的方案是:


禁用TLS1.0

同样以宝塔为例,找到网站,点击设置,点击配置文件,把原来的:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

替换

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

看图:大概位置,毕竟每个人设置方式不同,位置可能也不大相同,你可以百度CTRL+F,查找。

image.png

如图可以用#注释,也可以删除原来的,然后保存重载配置或者重启nginx服务器,然后在重新检测下SSL,就合规了。至于为什么我的智商和知识是解答不出来的,但是官方给出了答复:


在未来我们的安全评级也将对TLS1.0做出合适的降级处理,在评估兼容性影响后,还是建议大家关闭TLS1.0, 现在TLS1.3都出来了,未来主流应该是TLS1.2+TLS1.3。

大多数是比较老旧系统上自带浏览器不支持,如果是主流用户使用的Chrome、Firefox和国产浏览器基本都兼容的。

至此所有问题都已经迎刃而解,其实关于禁用TLS1.0我们也可以直接删除TLSv1就好了,因为你也不确定你的nginx是否支持TLSv1.3,如果不支持的话,这么写还可能导致出错,顺带把检测代码献上:

宝塔面板,文件,点击如图按钮,调用终端,输入以下命令:

image.png

nginx -t

如果返回值如图,那么没有问题。

image.png

如果不是这样的话,就不能填写TLSv1.3,只能删除TLSv1,如图:

image.png

好了,就啰嗦这么多吧,有问题的留言吧,我知道你会问,我的主机是Apache或者你的主机不是宝塔怎么办,那么我可以明确的告诉我,我~不~知~道,因为我没有别的服务器了,没法调试,哈哈,,,就喜欢你看不惯我又干不掉我的样子~~~

哦对了,这是MySSL官网:SSL/TLS安全评估报告

PS:想要我的角标那我就给你,放在主题配置---首页设置---统计代码里面就行了:

<div id="cc-myssl-id" style="position: fixed;right: 5px;bottom: 0;width: 65px;height: 65px;z-index: 99;">
  <a href="https://myssl.com/seal/detail?domain=你的域名" rel="nofollow" target="_blank">
    <img src="https://www.talklee.com/zb_users/upload/2019/02/myssl-id-logo-2.png" alt="https安全认证" style="width:100%;height:100%">
  </a>
</div>

把域名和图片换成自己的就行了。

文章版权及转载声明:

作者:非李莫属本文地址:https://www.talklee.com/blog/387.html发布于 4周前 ( 02-25 14:12 )
文章转载或复制请以超链接形式并注明出处李洋个人博客

分享到:
赞(3

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (有 14 条评论,374人围观)参与讨论
网友昵称:免费SsR服务器账号
免费SsR服务器账号游客2019-03-186楼 回复
很好的学习文章!谢谢!
网友昵称:非李莫属
非李莫属管理员2019-03-18 回复
@免费SsR服务器账号 不客气的。
网友昵称:detxt.coim
detxt.coim游客2019-03-07地板 回复
不错不错
网友昵称:非李莫属
非李莫属管理员2019-03-08 回复
@detxt.coim 谢谢谢谢!
网友昵称:百度
百度游客2019-03-07凉席 回复
德书网detxt.coim
网友昵称:非李莫属
非李莫属管理员2019-03-08 回复
@百度 已回访,
网友昵称:我爱技术网
我爱技术网游客2019-02-26板凳 回复
挺不错,支持老李,话说mip多久开发完文章不错,写的很好!
网友昵称:非李莫属
非李莫属管理员2019-02-28 回复
@我爱技术网 当然不错了,下周吧。
网友昵称:沟盖板
沟盖板游客2019-02-25椅子 回复
网站人气很高
网友昵称:非李莫属
非李莫属管理员2019-02-26 回复
@沟盖板 没有啊,很一般的。
网友昵称:论情博客
论情博客评论者2019-02-25沙发 回复
角标很好看、赞
网友昵称:非李莫属
非李莫属管理员2019-02-26 回复
@论情博客 更新文章了,里面有代码!
网友昵称:论情博客
论情博客评论者2019-02-26 回复
@非李莫属 手机版,脚标把你的底部工具栏盖住了一角,
网友昵称:非李莫属
非李莫属管理员2019-02-28 回复
@论情博客 肯定的话,距离底部都是0,自己用自定义css修改下就好了。