自2018年6月30日起,PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0将不符合PCI支付卡行业安全标准,简称PCI DSS。这是继苹果ATS安全标准后的又一严格的安全标准,意味着你的HTTPS网站服务器部署标准中的TLS1.0项需要移除。

自2018年6月30日起,PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0将不符合PCI支付卡行业安全标准,简称PCI DSS。这是继苹果ATS安全标准后的又一严格的安全标准,意味着你的HTTPS网站服务器部署标准中的TLS1.0项需要移除。

在使用一些互联网HTTPS部署测试工具中,会抛出“PCI DSS”安全标准不合规的安全警告,作为运维或管理人员不必过于担心是SSL数字证书的安全漏洞,但需要注意修改SSL部署的配置,以提升整个网站的安全性。

PCI DSS安全标准全称是Payment Card Industry (PCI) Data Security Standard,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS,在SSL数字证书部署方面需要注意TLS1.0的配置,只需关闭此协议即可

Nginx

通常Nginx的协议配置如下(Nginx中最安全的SSL证书配置):

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

修改为删除TLS1.0、增加TLS1.3即可(需要openSSL支持TLS1.3)

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

Apache

通常Apache的协议配置如下(Apache 部署SSL数字证书及安全性设置

SSLProtocol ALL -SSLv2 -SSLv3

删除TLS1.0

SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1

IIS服务器

IIS服务器较为特殊,一般建议使用工具进行修改:修改IIS的SSL和TLS不同版本的协议,参考修改方法,在此教程中不勾选TLS1.0即可完成修改

Tomcat

Tomcat通常和版本相关,常规配置如下(Tomcat快速部署PFX和JKS证书) 

SSLProtocol="TLSv1.2+TLSv1+TLSv1.1"

删除TLS1.0

SSLProtocol="TLSv1.2+TLSv1.1"

以上服务器增TLS1.3的支持需要依赖openSSL的版本以及IIS和Java的版本

缺点及问题

移除TLS1.0意味着低版本的操作系统不再支持SSL,在模拟握手过程中,有以下设备或操作系统对于TLS1.0的握手结果失败:

版本设备兼容性
Android 2.3.7 Android 不支持
Android 4.0.4 Android 不支持
Android 4.1.1 Android 不支持
Android 4.2.2 Android 不支持
Android 4.3 Android 不支持
IE 6 XP 不支持
IE 7 Vista 不支持
IE 8 XP 不支持
IE 8-10 Win 7 不支持
IE 10 Win Phone 8.0 不支持
Java 6u45 Java 不支持
Java 7u25 Java 不支持
OpenSSL 0.9.8y OpenSSL 不支持
Safari 5.1.9 OS X 10.6.8 不支持
Safari 6.0.4 OS X 10.8.4 不支持

 

相关文章