怎么解决PCI DSS不合规,让SSL评级到A+级别 |
SSL 相信不用多说,就是网站需要安装 SSL 证书后,才能够开始 HTTPS 协议的访问,可以提升网站数据传输的安全性。 PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。 目前,https基本上对个人网站管理员和企业官方网站都已经启用了今天,让我们来讨论一下在测试证书时如何使PCI DSS表现出现A+级别。土豪老板(已经重金购买安全证书的人)可以离开。毕竟,这会耽误你的时间。 不合规原因: PCI安全标准委员会早在2017年就提到:为保障支付数据安全,在2018年6月30日之后,所有实体(企业)必须停止使用SSL/早期TLS作为安全控制,并且仅使用安全版本TLS V1.1或更高),强烈建议TLS V1.2以上。 问题的解决方法: 以宝塔为例,找到网站,点击设置,点击配置文件,把原来的:
修改为:
如图可以用#注释,也可以删除原来的,然后保存重载配置或者重启nginx服务器,然后在重新检测下SSL,就合规了。 如果依然不合规,可以尝试开启HSTS
需要注意的是Strict-Transport-Security中的max-age的时间不能小于15552000秒。 步骤如下:登录你的宝塔面板,然后左侧---网站---找到你的网站,最右侧有个设置,点击设置---然后在弹出的对话框找到左侧的---配置文件---看图 至此,解决PCI DSS不合规的问题已经解决! |