HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。

Let's Encrypt，是2016年4月12日成立的一家證書授權(quán)中心，提供免費(fèi)的傳輸層安全（TLS）X.509證書，通過自動(dòng)化的過程消除目前安全網(wǎng)站證書需要手工創(chuàng)建，加密，簽名，安裝以及更新的復(fù)雜性。

開啟SSL

一直以來(lái)都覺得瀏覽器網(wǎng)址開頭的那把小綠鎖很別致啊，現(xiàn)在Let's Encrypt橫空出世提供免費(fèi)證書，說(shuō)明https勢(shì)在必行，那我也來(lái)動(dòng)手給博客加把鎖吧，看著就安全是吧。

現(xiàn)在給網(wǎng)站加上https添加開啟SSL證書給網(wǎng)站添加一把小綠鎖是很簡(jiǎn)單的事，網(wǎng)站后臺(tái)、站長(zhǎng)工具等都可以開啟SSL。象寶塔面板給網(wǎng)站一鍵添加Let’s Encrypt免費(fèi)https證書，省去復(fù)雜的技術(shù)操作，輕松加密網(wǎng)站。

寶塔面板給網(wǎng)站一鍵添加Let’s Encrypt免費(fèi)https證書

可能很多站長(zhǎng)不管是使用了免費(fèi)的還是收費(fèi)的https證書，由于頁(yè)面還存在http連接，導(dǎo)致瀏覽器的小鎖是灰色和右小腳跟了一個(gè)黃色小三角。

看了很多解決方法，其中大部分是讓站長(zhǎng)把頁(yè)面里包含http協(xié)議的連接都換成https就行了，但是有一個(gè)問題，本站的http鏈接是非常好解決的，如果我們站點(diǎn)里有友情鏈接是http的怎么辦呢？

所以，把頁(yè)面的http鏈接都換成https也是不對(duì)的。要想讓https小灰鎖變成安全的小綠鎖其實(shí)非常簡(jiǎn)單，只需要在頁(yè)面head里加入以下標(biāo)簽即可：

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

看一下是不是已經(jīng)完美解決了？

https小綠鎖

但是小綠鎖上面還有一個(gè)灰色的嘆號(hào)是怎么回事？原因是使用的360安全瀏覽器。

該網(wǎng)站根證書不在360根證書計(jì)劃內(nèi)

Let's Encrypt 證書并未在 360 的這個(gè)根證書列表中，根據(jù) 360 瀏覽器根證書認(rèn)證流程，估計(jì)是需要 Let's Encrypt 證書官方去申請(qǐng)才行。為了這個(gè)問題，早在今年 4 月中旬就有站長(zhǎng)在 360 社區(qū)發(fā)帖說(shuō)“為什么干這種阻礙互聯(lián)網(wǎng)前進(jìn)的蠢事？ 人家 Let's Encrypt 為了更安全的互聯(lián)網(wǎng)免費(fèi)提供證書?。?！就因?yàn)槿思姨峁┝嗣赓M(fèi)的泛域名證書你們就開始抵制嗎？請(qǐng)問互聯(lián)網(wǎng)的精神何在？何況 360 自己都是倡導(dǎo)的免費(fèi)！”可惜 360 官方?jīng)]有給出什么有力的答復(fù)。對(duì)于這種事情，我們普通站長(zhǎng)能做的要么忽略 360，要么更換證書。但是用360極速瀏覽器打開卻完全沒問題，搞不懂360。

部署完成然后到站長(zhǎng)工具去檢測(cè)一下，發(fā)現(xiàn)出現(xiàn)了一個(gè)新的問題。

PCI-DSS不合規(guī)

PCI DSS，全稱 Payment Card Industry Data Security Standard，第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，是由 PCI 安全標(biāo)準(zhǔn)委員會(huì)制定，力在使國(guó)際上采用一致的數(shù)據(jù)安全措施。

早在去年 6 月 30 號(hào) PCI 安全標(biāo)準(zhǔn)委員會(huì)官方發(fā)表博文將于2018 年 6 月 30 號(hào)（最晚）禁用早期 SSL/TLS，并實(shí)施更安全的加密協(xié)議（TLS v1.1 或更高版本，強(qiáng)烈建議使用 TLS v1.2）以滿足 PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)的要求，從而保護(hù)支付數(shù)據(jù)。

隨著時(shí)間的臨近，我們提前調(diào)整了 PCI DSS 合規(guī)判定標(biāo)準(zhǔn)（在原有的標(biāo)準(zhǔn)之上，支持 TLS v1.0 或更早的加密協(xié)議將會(huì)判定為不合規(guī)），方便您提前調(diào)整您的服務(wù)以避免違規(guī)的風(fēng)險(xiǎn)。

根據(jù)上面的介紹可知，從 2018 年 6 月 30 號(hào)起已經(jīng)開始禁用早期 SSL/TLS，也就是禁用 TLSv1.0。換句話就是說(shuō)如果站點(diǎn)還支持 TLSv1.0 加密協(xié)議的話就會(huì)被判定為 PCI DSS 不合規(guī)。

解決方法很簡(jiǎn)單，就是刪除TLSv1 即可。

nginx將紅框中的TLSv1刪除

nginx將紅框中的TLSv1刪除

apache 則是添加TLSv1到紅框中

apache添加TLSv1到紅框中

然后重啟nginx或apache，再去檢測(cè)一下就發(fā)現(xiàn)全部合規(guī)了。