类别:LINUX / GNU / 日期:2020-05-02 / 浏览:4636 / 评论:3
TLS(安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性,该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
PCI DSS 全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。
如果你的网站不需要涉及到支付业务,那么就可以尝试开启TLS1.0以便兼容更多网站。
Apache例子设置如下:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE SSLProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 SSLProtocol All -SSLv2 -SSLv3
Nginx例子设置如下:
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
请注意,PCI安全标准委员会规定2018年6月30日之后,开启TLS1.0将导致PCI DSS不合规。感兴趣的可以参考下mozilla的详细设置说明。
共有 3 条评论
按这个配置了还是测试不支持tls1.0,是不是还需要证书支持呀 Let's Encrypt Authority X3
Let's X3的证书下是支持TLS1.0的,如果配置无效可以试试下面的参数。
ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA;
确实,TLSv1开启之后几乎支持所有主流的浏览器,但是同时也会导致站点暴露安全问题,两难的选择。
发表评论 / 取消回复