自2018年6月30日起,PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0将不符合PCI支付卡行业安全标准,简称PCI DSS。这是继苹果ATS安全标准后的又一严格的安全标准,意味着你的HTTPS网站服务器部署标准中的TLS1.0项需要移除。
自2018年6月30日起,PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0将不符合PCI支付卡行业安全标准,简称PCI DSS。这是继苹果ATS安全标准后的又一严格的安全标准,意味着你的HTTPS网站服务器部署标准中的TLS1.0项需要移除。
在使用一些互联网HTTPS部署测试工具中,会抛出“PCI DSS”安全标准不合规的安全警告,作为运维或管理人员不必过于担心是SSL数字证书的安全漏洞,但需要注意修改SSL部署的配置,以提升整个网站的安全性。
PCI DSS安全标准全称是Payment Card Industry (PCI) Data Security Standard,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS,在SSL数字证书部署方面需要注意TLS1.0的配置,只需关闭此协议即可
Nginx
通常Nginx的协议配置如下(
Nginx中安全的SSL证书配置
):
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
修改为删除TLS1.0、增加TLS1.3即可(需要openSSL支持TLS1.3)
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
Apache
通常Apache的协议配置如下(
Apache 部署SSL数字证书及安全性设置
)
SSLProtocol ALL -SSLv2 -SSLv3
删除TLS1.0
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1
IIS服务器
IIS服务器较为特殊,一般建议使用工具进行修改:
修改IIS的SSL和TLS不同版本的协议
,参考修改方法,在此教程中不勾选TLS1.0即可完成修改
Tomcat
Tomcat通常和版本相关,常规配置如下(
Tomcat便捷部署PFX和JKS证书
)
SSLProtocol="TLSv1.2+TLSv1+TLSv1.1"
删除TLS1.0
SSLProtocol="TLSv1.2+TLSv1.1"
以上服务器增TLS1.3的支持需要依赖openSSL的版本以及IIS和Java的版本
缺点及问题
移除TLS1.0意味着低版本的操作系统不再支持SSL,在模拟握手过程中,有以下设备或操作系统对于TLS1.0的握手结果失败:
版本设备兼容性
Android 2.3.7
Android
Android 4.0.4
Android
Android 4.1.1
Android
Android 4.2.2
Android
Android 4.3
Android
Vista
IE 8-10
Win 7
IE 10
Win Phone 8.0
Java 6u45
Java 7u25
OpenSSL 0.9.8y
OpenSSL
Safari 5.1.9
OS X 10.6.8
Safari 6.0.4
OS X 10.8.4
TLS/SSL品牌
TLS/SSL类型
数字签名
全球可信,快速签发
常见问题
SSL工具
从这里开始
