前几天破折君这个网站全站启用了https,本以为万事大吉了但是使用过程中遇到两个问题,一个是手机移动4G访问出现无法打开网站,其他网络正常;另外一个就是用iPhone自带的Safari浏览器访问提示“您的连接不是私密连接”,无法正常访问。

ATS不合规

第一个4G网络不能正常访问的原因是开启了https,而移动节点不支持443,所以不能cname记录到二级域名而只要将域名直接做a记录解析到 ip即可恢复正常。第二个Safari浏览器访问异常的原因2017年1月1日开始,苹果要求所有iOS应用必须使用ATS(App Transport Security),即APP内连接必须使用安全的HTTPS并且需要满足ios9中的新特性。

所以作为https部署之后,可以利用类似myssl这样的网站检测一下PCI DSS和ATS是否合规,只有同时通过了PCI DSS和Apple ATS测试,启用的HTTPS才是安全合格的。

一般情况下利用HTTPS检测网站检测到都结果都是PCI DSS不合规,但是破折君博客检测的时候发现PCI DSS和Apple ATS都不合规,这里就讲讲PCI DSS和Apple ATS不合规的原因和解决方法:

一、PCI DSS不合规

(1)原因:这是由于PCI安全标准委员会规定2018年6月30日之后,开启TLS1.0将导致PCI DSS不合规。

(2)解决方法:禁用TLS1.0就可以了,本文就以破折君的nginx服务器为例,具体操作步骤如下:

①打开nginx服务器配置文件中SSL.conf文件

②找到ssl_protocols TLSv1 TLSv1.1 TLSv1.2;改为ssl_protocols TLSv1.1 TLSv1.2;

③重启服务器,搞定!

二、ATS不合规

(1)原因:正常情况下一般不会出现ATS不合规,而破折君的服务器就出现了这个问题。经过检测发现原因是openssl版本支持不到tsl1.2导致检测不通过。

(2)解决方法:

①先是yum install openssl* -y升级了一下openssl,openssl版本过低不支持TSL1.2

②然后用了wdcp的一个升级脚本升级了nginx

wget http://wdcp.vestavps.com/upgrade/nginx_up.sh

sh nginx_up.sh 1.10.0

③在站点的nginx配置中添加或者修改成如下即可

ssl_protocols TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

ssl_prefer_server_ciphers on;

④重启服务器,搞定

以上就是如何解决HTTPS检测PCI DSS和ATS不合规问题的具体操作方法,如果你也遇到相关的问题,不清楚的可以给我留言,看到都会回复,欢迎交流!

也许你也感兴趣:

作者:
该日志由 破折君 于2019年04月16日发表在电脑知识分类下,
转载请注明: HTTPS检测PCI DSS和ATS不合规?两步轻松搞定!
关键字: , ,
【上一篇】
【下一篇】

1 篇回应 (访客:1 篇, 博主:0 篇)

  1. 免费 说道:

    这种文章一定要顶,费心

    #1楼