V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Loyalsoldier
V2EX  ›  SSL

HTTPS 证书部署如何做到 PCI DSS 合规?

  •  
  •   Loyalsoldier · 2018-06-09 15:53:58 +08:00 · 5100 次点击
    这是一个创建于 2353 天前的主题,其中的信息可能已经有所发展或是发生改变。

    HTTPS 证书检测结果

    证书检测结果如上,但是 PCI DSS 怎样才能合规,并没有说明。

    第 1 条附言  ·  2018-06-10 13:43:13 +08:00

    我猜不是因为 TLS1.0 TLS1.1 的原因,而是加密套件不安全:

    加密套件截图

    18 条回复    2018-06-15 11:09:42 +08:00
    geekzu
        1
    geekzu  
       2018-06-09 16:34:52 +08:00 via Android
    myssl.com 网站最近炸了,所有站点检测 PCI DSS 都是不合规,无视即可
    Loyalsoldier
        2
    Loyalsoldier  
    OP
       2018-06-09 16:49:33 +08:00
    @geekzu #1 谢谢!
    xingxing460
        3
    xingxing460  
       2018-06-09 19:57:39 +08:00 via Android
    禁用 TLSv1.0 1.1,只启用 TLS1.2 以上的协议就可以了。这样会不兼容旧客户端。
    davidyin
        4
    davidyin  
       2018-06-09 20:25:16 +08:00 via Android
    @geekzu 可以检查,没有问题。
    geekzu
        5
    geekzu  
       2018-06-09 23:04:25 +08:00 via Android
    @xingxing460 没有那么严格,一般只要 SSLLAB 评分能到 A 就完全可以通过,不需要关闭 TLS1.1 和 TLS1.0

    @davidyin 没有人说不可以检查,只是说这个工具检测 PCI DSS 的功能废了而已
    davidyin
        6
    davidyin  
       2018-06-10 03:39:41 +08:00 via Android
    @geekzu 我的意思是检查后 PCI DSS 是通过的。
    ![Screenshot_2018-06-09-05-23-43-503_Chrome.png]( https://i.loli.net/2018/06/10/5b1c2cac68416.png)
    dorentus
        7
    dorentus  
       2018-06-10 10:51:01 +08:00 via iPhone
    https://myssl.com/rubyist.today 我的这个也是通过的
    Loyalsoldier
        8
    Loyalsoldier  
    OP
       2018-06-10 13:43:52 +08:00
    @geekzu #1
    @xingxing460 #3
    @davidyin #4
    @dorentus #7

    看附言
    geekzu
        9
    geekzu  
       2018-06-10 23:19:36 +08:00
    看了下最新的规范,6 月 30 日之后的要求是 支持 TLS1.2 并关闭 TLS1.0 及以下版本协议。
    也就是说 myssl 的检测结果是对的,只不过没有说明是 6 月 30 日之后的规则。
    楼上几位通过检测的应该都是关闭了 TLS1.0 的,和弱加密套件没什么关系。
    dfly0603
        10
    dfly0603  
       2018-06-10 23:29:20 +08:00 via Android
    @geekzu 对的,我检查了两次,两次不同的结果。
    razeen
        11
    razeen  
       2018-06-14 16:07:41 +08:00
    原来合规的情况下,把 TLS v1.0 关了就合规了。
    官方已经给出说明。 https://blog.myssl.com/pci-dss/
    Loyalsoldier
        12
    Loyalsoldier  
    OP
       2018-06-14 16:13:02 +08:00
    @razeen #11
    感谢!
    Loyalsoldier
        13
    Loyalsoldier  
    OP
       2018-06-14 17:19:20 +08:00
    @razeen #11

    按照你发的文章的说明,停用了 TLS1.0 后,再检测,还是不合规。我用的配置如下:

    ```
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DS;
    ```

    SSL_CIPHERS 是用 https://mozilla.github.io/server-side-tls/ssl-config-generator/ 生成的:Nginx、Intermediate、1.10.3、1.0.2k
    Loyalsoldier
        14
    Loyalsoldier  
    OP
       2018-06-14 17:20:21 +08:00
    @razeen #11

    上面的配置在 myssl.com 刷新报告后检测出来,依然是显示支持 TLS1.0
    这个很奇怪
    razeen
        15
    razeen  
       2018-06-15 11:05:50 +08:00
    <img src=http://chuantu.biz/t6/328/1529031797x-1404764547.png />

    我将套件改成你一样了,是可以的。

    <img src=http://chuantu.biz/t6/328/1529031891x-1566657555.png />

    你配置后重启 nginx 了么==。
    razeen
        16
    razeen  
       2018-06-15 11:06:15 +08:00
    razeen
        17
    razeen  
       2018-06-15 11:07:29 +08:00
    Loyalsoldier
        18
    Loyalsoldier  
    OP
       2018-06-15 11:09:42 +08:00
    @razeen #16

    Nginx 用 restart 命令重启的。奇怪了……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5553 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 06:01 · PVG 14:01 · LAX 22:01 · JFK 01:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.