- A+
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標(biāo)的HTTP通道,簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。
Let's Encrypt,是2016年4月12日成立的一家證書授權(quán)中心,提供免費(fèi)的傳輸層安全(TLS)X.509證書,通過自動(dòng)化的過程消除目前安全網(wǎng)站證書需要手工創(chuàng)建,加密,簽名,安裝以及更新的復(fù)雜性。
一直以來(lái)都覺得瀏覽器網(wǎng)址開頭的那把小綠鎖很別致啊,現(xiàn)在Let's Encrypt橫空出世提供免費(fèi)證書,說(shuō)明https勢(shì)在必行,那我也來(lái)動(dòng)手給博客加把鎖吧,看著就安全是吧。
現(xiàn)在給網(wǎng)站加上https添加開啟SSL證書給網(wǎng)站添加一把小綠鎖是很簡(jiǎn)單的事,網(wǎng)站后臺(tái)、站長(zhǎng)工具等都可以開啟SSL。象寶塔面板給網(wǎng)站一鍵添加Let’s Encrypt免費(fèi)https證書,省去復(fù)雜的技術(shù)操作,輕松加密網(wǎng)站。
可能很多站長(zhǎng)不管是使用了免費(fèi)的還是收費(fèi)的https證書,由于頁(yè)面還存在http連接,導(dǎo)致瀏覽器的小鎖是灰色和右小腳跟了一個(gè)黃色小三角。
看了很多解決方法,其中大部分是讓站長(zhǎng)把頁(yè)面里包含http協(xié)議的連接都換成https就行了,但是有一個(gè)問題,本站的http鏈接是非常好解決的,如果我們站點(diǎn)里有友情鏈接是http的怎么辦呢?
所以,把頁(yè)面的http鏈接都換成https也是不對(duì)的。要想讓https小灰鎖變成安全的小綠鎖其實(shí)非常簡(jiǎn)單,只需要在頁(yè)面head里加入以下標(biāo)簽即可:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />
看一下是不是已經(jīng)完美解決了?
但是小綠鎖上面還有一個(gè)灰色的嘆號(hào)是怎么回事?原因是使用的360安全瀏覽器。
Let's Encrypt 證書并未在 360 的這個(gè)根證書列表中,根據(jù) 360 瀏覽器根證書認(rèn)證流程,估計(jì)是需要 Let's Encrypt 證書官方去申請(qǐng)才行。為了這個(gè)問題,早在今年 4 月中旬就有站長(zhǎng)在 360 社區(qū)發(fā)帖說(shuō)“為什么干這種阻礙互聯(lián)網(wǎng)前進(jìn)的蠢事? 人家 Let's Encrypt 為了更安全的互聯(lián)網(wǎng)免費(fèi)提供證書?。?!就因?yàn)槿思姨峁┝嗣赓M(fèi)的泛域名證書你們就開始抵制嗎?請(qǐng)問互聯(lián)網(wǎng)的精神何在?何況 360 自己都是倡導(dǎo)的免費(fèi)!”可惜 360 官方?jīng)]有給出什么有力的答復(fù)。對(duì)于這種事情,我們普通站長(zhǎng)能做的要么忽略 360,要么更換證書。但是用360極速瀏覽器打開卻完全沒問題,搞不懂360。
部署完成然后到站長(zhǎng)工具去檢測(cè)一下,發(fā)現(xiàn)出現(xiàn)了一個(gè)新的問題。
PCI DSS,全稱 Payment Card Industry Data Security Standard,第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn),是由 PCI 安全標(biāo)準(zhǔn)委員會(huì)制定,力在使國(guó)際上采用一致的數(shù)據(jù)安全措施。
早在去年 6 月 30 號(hào) PCI 安全標(biāo)準(zhǔn)委員會(huì)官方發(fā)表博文將于2018 年 6 月 30 號(hào)(最晚)禁用早期 SSL/TLS,并實(shí)施更安全的加密協(xié)議(TLS v1.1 或更高版本,強(qiáng)烈建議使用 TLS v1.2)以滿足 PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)的要求,從而保護(hù)支付數(shù)據(jù)。
隨著時(shí)間的臨近,我們提前調(diào)整了 PCI DSS 合規(guī)判定標(biāo)準(zhǔn)(在原有的標(biāo)準(zhǔn)之上,支持 TLS v1.0 或更早的加密協(xié)議將會(huì)判定為不合規(guī)),方便您提前調(diào)整您的服務(wù)以避免違規(guī)的風(fēng)險(xiǎn)。
根據(jù)上面的介紹可知,從 2018 年 6 月 30 號(hào)起已經(jīng)開始禁用早期 SSL/TLS,也就是禁用 TLSv1.0。換句話就是說(shuō)如果站點(diǎn)還支持 TLSv1.0 加密協(xié)議的話就會(huì)被判定為 PCI DSS 不合規(guī)。
解決方法很簡(jiǎn)單,就是刪除TLSv1 即可。
nginx將紅框中的TLSv1刪除
apache 則是添加TLSv1到紅框中
然后重啟nginx或apache,再去檢測(cè)一下就發(fā)現(xiàn)全部合規(guī)了。