我们网站安装了ssl证书,切换成https协议的站点,用站长工具查询的时候,SSL证书一栏提示不安全的https,如下图所示。



作为一个资深站长的人来说,肯定不能放过这个不友好的问题。点击进去详细页后,能看到评测报告,发现里面有相关的提示信息。


我们可以看到导致报“不安全的https”的主要原因是PCI DSS这项的问题。下面橙色字体部分也进行了详细的提示,“服务器易受到CVE-2016-2107漏洞攻击,降级为2”、“服务器支持弱Diffie-Hellman(DH)密钥交换参数,降级为6”。不同的站点,此处的提示也不一定相同。


今天我们主要解决“服务器易受到CVE-2016-2107漏洞攻击,降级为2”的为问题。还有一些其它方式来解决这些有关问题


温馨提示:https://www.bailexiyi.com能查到更详细的测评信息。



1、问题原因


CVE-2016-2107 是 OpenSSL 1.0 的一个漏洞,也就是说明你的服务器中的OpenSSL版本过低,版本可以用 openssl version -a 命令查看。


2、解决办法


如上图“配置指南”中的提示所示:“需要在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2 ;”。也就是升级OpenSSL即可,升级的办法就不详细介绍了,网上很多。


我已经升级到了 OpenSSL 1.1.0h ,如下图所示:


image.png


接着再次测试,就显示“安全https”了。


image.png


第二种解说   提示 PCI DSS 不合规


前段时间就随便检测了一下泪雪博客的 SSL 证书,就提示 PCI DSS 不合规,当时也没有在意,因为 PCI DSS 是属于支付卡行业安全标准,泪雪博客并不涉及,所以也没有影响,这不就在昨天有个朋友也发现这个问题了,所以昨天有空就简单的看了一下,然后顺便就解决一下。

SSL 相信不用多说,就是网站需要安装 SSL 证书后,才能够开始 HTTPS 协议的访问,可以提升网站数据传输的安全性。

PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。

早在去年 6 月 30 号 PCI 安全标准委员会官方发表博文将于 2018 年 6 月 30 号(最晚),也就是上月月底禁用早期 SSL/TLS,并实施更安全的加密协议(TLS v1.1 或更高版本,强烈建议使用 TLS v1.2)以满足 PCI 数据安全标准的要求,从而保护支付数据。

解决方法

通过了解,我们知道这是安全性要求升级了,如果原有站点没有禁用 TLS1.0 就将被提示不合规。

由于子凡的服务器使用的 NGINX 服务器环境,所以在对于网站的配置文件中删除 TLSv1 就搞定了,如下所示:

1
ssl_protocols TLSv1.1 TLSv1.2;

当然如果你的证书支持 1.3 也可以继续添加,当时不得不说的是,禁止老版本的协议可能会导致某些意想不到的问题,就像之前子凡因为把这个协议版本修改后就导致微博不能够正常抓取网站图片,就导致微博分享图片失败的情况。

所以考虑自身实际情况,当然子凡是非常建议大家及时跟进会比较好,即使就像泪雪博客没有支付相关的安全需求,但是较强的配置也能够在一定层面上提升网站的安全。

又拍云 CDN 坏境 PCI DSS提示不合格


站点部署 HTTPS目前来看已经是大势所趋不可抵挡了,所以现在有很多博客网站都纷纷升级到 HTTPS,但是在部署 HTTPS 的时候,或多或少都可能会存在一些问题,那么我们就很有必要借助第三方平台(如myssl.com)来检测看看我们的评级是否达到 A+,PCI DSS 是否合规,ATS 是否合规等。今天我们重点来说一说 PCI DSS 不合规的问题。

PCI DSS

PCI DSS,全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由 PCI 安全标准委员会制定,力在使国际上采用一致的数据安全措施。

早在去年 6 月 30 号 PCI 安全标准委员会官方发表博文将于2018 年 6 月 30 号(最晚)禁用早期 SSL/TLS,并实施更安全的加密协议(TLS v1.1 或更高版本,强烈建议使用 TLS v1.2)以满足 PCI 数据安全标准的要求,从而保护支付数据。

随着时间的临近,我们提前调整了 PCI DSS 合规判定标准(在原有的标准之上,支持 TLS v1.0 或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

根据上面的介绍可知,从 2018 年 6 月 30 号起已经开始禁用早期 SSL/TLS,也就是禁用 TLSv1.0。换句话就是说如果站点还支持 TLSv1.0 加密协议的话就会被判定为 PCI DSS 不合规。如下图所示:

现在网络上很多部署 HTTPS 的教程里面都还是用到 TLSv1.0 解密协议,一般给出的 ssl_protocols 配置都是类似下面的做法:

  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

上述代码中的 TLSv1 其实就是 TLSv1.0,也就是说我们在配置 SSL 的时候如果还是用到 TLSv1 就会出现 PCI DSS 不合规。既然知道了问题所在,那么解决办法也就很简单了,直接在 SSL 配置中禁用 TLSv1.0,也就是直接删除 TLSv1,修改后的代码如下:

  1. ssl_protocols TLSv1.1 TLSv1.2;

如果你的站点环境支持 TLSv1.3,那么可以修改为:

  1. ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

修改好 ssl_protocols 之后,记得重启一下 nginx(平滑重启 nginx 命令:

/usr/local/nginx/sbin/nginx -s reload),然后到myssl.com重新检测,如果没有变化,点击右侧的“刷新报告”按钮刷新即可。如本站修改之后的检测报告如下:

如上图所示,本站把 SSL 配置中的 TLSv1 删除并重启 nginx 之后,PCI DSS 已经合规了。

如果你也是使用又拍云 CDN的话,记得到功能配置 >> HTTPS >> 往下拉找到“最低 TLS 版本”>> 点击『管理』按钮 >> 选择 TLSv1.1 并点击『确定』按钮。如下图所示:

这样在服务器上直接配置禁用 TLSv1.0,在又拍云上选择最低 TLS 版本为 TLSv1.1,那么可以说是万无一失了,检测报告中 PCI DSS 肯定是合规的了。有空的话,建议各位博主站长也检测一下自己站点是否存在 PCI DSS 不合规的情况,如果存在就按本文的办法折腾一下就行。


最后我们来说IIS坏境下的解决方法:

PCI DSS合规标准,使用IIS Crypto(iis服务器安全管理工具) 禁用TLS1.0


PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。

早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号(最晚),也就是本月月底禁用早期SSL/TLS,并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求,从而保护支付数据。

随着时间的临近,我们提前调整了PCI DSS合规判定标准(在原有的标准之上,支持TLS v1.0或更早的加密协议将会判定为不合规),方便您提前调整您的服务以避免违规的风险。

IIS服务器解决方案

评估兼容性后,使用IIS Crypto(IIS服务器安全管理工具) 方便快捷禁用TLS1.0

IIS Crypto是一款免费的iis服务器安全管理工具,使管理员能够在Windows Server 2008、2012和2016上启用或禁用协议、密码、散列和密钥交换算法。它还允许您重新排序IIS提供的SSL/TLS密码套件,从而防止DROWN、logjam、FREAK、POODLE和BEAST攻击,您只需点击一下,创建自定义模板并测试您的网站。

QQ截图20180702013543.png

功能特点

单击以使用最佳做法来保护您的网站
创建可以在多台服务器上保存和运行的自定义模板
防止DROWN、logjam、FREAK、POODLE和BEAST攻击
禁用弱协议和密码,如SSL 2.0,3.0和MD5
启用TLS 1.1和1.2
启用前瞻性保密
重新安排密码套件
内置最佳实践,PCI,PCI 3.1和FIPS 140-2模板
站点扫描仪测试您的配置
命令行版本

IIS Crypto是做什么的?

IIS Crypto使用Microsoft 从本文中的相同设置更新注册表 。它还以与组策略编辑器(gpedit.msc)相同的方式更新加密套件顺序。此外,IIS Crypto还允许您创建可以保存在多个服务器上的自定义模板。命令行版本包含与GUI版本相同的内置模板,也可以与您自己的自定义模板一起使用。

更新日志

IIS Crypto v2.0更新日志
新增完整版本信息至关于选项卡
修复从网络共享运行时崩溃

官方下载地址:https://www.nartac.com/Products/IISCrypto

如果你是云主机 win2008系统 iis证书配置没错的情况下 提示这个不合格,那么你只要装下这个软件在空间 安装以下截图操作 就可以解决了。软件官方下载:https://www.nartac.com/Products/IISCrypto/Download  下载第一个IIS Crypto GUI  

QQ图片20190822082724.png

最好你在站长工具平台那里刷新试试