https開啟SSL給網(wǎng)站添加一把小綠鎖

  • A+
所屬分類:技術(shù)資料

HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細內(nèi)容就需要SSL。

Let's Encrypt,是2016年4月12日成立的一家證書授權(quán)中心,提供免費的傳輸層安全(TLS)X.509證書,通過自動化的過程消除目前安全網(wǎng)站證書需要手工創(chuàng)建,加密,簽名,安裝以及更新的復(fù)雜性。

https開啟SSL給網(wǎng)站添加一把小綠鎖

開啟SSL

一直以來都覺得瀏覽器網(wǎng)址開頭的那把小綠鎖很別致啊,現(xiàn)在Let's Encrypt橫空出世提供免費證書,說明https勢在必行,那我也來動手給博客加把鎖吧,看著就安全是吧。

現(xiàn)在給網(wǎng)站加上https添加開啟SSL證書給網(wǎng)站添加一把小綠鎖是很簡單的事,網(wǎng)站后臺、站長工具等都可以開啟SSL。象寶塔面板給網(wǎng)站一鍵添加Let’s Encrypt免費https證書,省去復(fù)雜的技術(shù)操作,輕松加密網(wǎng)站。

https開啟SSL給網(wǎng)站添加一把小綠鎖

寶塔面板給網(wǎng)站一鍵添加Let’s Encrypt免費https證書

可能很多站長不管是使用了免費的還是收費的https證書,由于頁面還存在http連接,導致瀏覽器的小鎖是灰色和右小腳跟了一個黃色小三角。

看了很多解決方法,其中大部分是讓站長把頁面里包含http協(xié)議的連接都換成https就行了,但是有一個問題,本站的http鏈接是非常好解決的,如果我們站點里有友情鏈接是http的怎么辦呢?

所以,把頁面的http鏈接都換成https也是不對的。要想讓https小灰鎖變成安全的小綠鎖其實非常簡單,只需要在頁面head里加入以下標簽即可:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" />

看一下是不是已經(jīng)完美解決了?

https開啟SSL給網(wǎng)站添加一把小綠鎖

https小綠鎖

但是小綠鎖上面還有一個灰色的嘆號是怎么回事?原因是使用的360安全瀏覽器。

https開啟SSL給網(wǎng)站添加一把小綠鎖

該網(wǎng)站根證書不在360根證書計劃內(nèi)

Let's Encrypt 證書并未在 360 的這個根證書列表中,根據(jù) 360 瀏覽器根證書認證流程,估計是需要 Let's Encrypt 證書官方去申請才行。為了這個問題,早在今年 4 月中旬就有站長在 360 社區(qū)發(fā)帖說“為什么干這種阻礙互聯(lián)網(wǎng)前進的蠢事? 人家 Let's Encrypt 為了更安全的互聯(lián)網(wǎng)免費提供證書?。?!就因為人家提供了免費的泛域名證書你們就開始抵制嗎?請問互聯(lián)網(wǎng)的精神何在?何況 360 自己都是倡導的免費!”可惜 360 官方?jīng)]有給出什么有力的答復(fù)。對于這種事情,我們普通站長能做的要么忽略 360,要么更換證書。但是用360極速瀏覽器打開卻完全沒問題,搞不懂360。

部署完成然后到站長工具去檢測一下,發(fā)現(xiàn)出現(xiàn)了一個新的問題。

https開啟SSL給網(wǎng)站添加一把小綠鎖

PCI-DSS不合規(guī)

PCI DSS,全稱 Payment Card Industry Data Security Standard,第三方支付行業(yè)數(shù)據(jù)安全標準,是由 PCI 安全標準委員會制定,力在使國際上采用一致的數(shù)據(jù)安全措施。

早在去年 6 月 30 號 PCI 安全標準委員會官方發(fā)表博文將于2018 年 6 月 30 號(最晚)禁用早期 SSL/TLS,并實施更安全的加密協(xié)議(TLS v1.1 或更高版本,強烈建議使用 TLS v1.2)以滿足 PCI 數(shù)據(jù)安全標準的要求,從而保護支付數(shù)據(jù)。

隨著時間的臨近,我們提前調(diào)整了 PCI DSS 合規(guī)判定標準(在原有的標準之上,支持 TLS v1.0 或更早的加密協(xié)議將會判定為不合規(guī)),方便您提前調(diào)整您的服務(wù)以避免違規(guī)的風險。

根據(jù)上面的介紹可知,從 2018 年 6 月 30 號起已經(jīng)開始禁用早期 SSL/TLS,也就是禁用 TLSv1.0。換句話就是說如果站點還支持 TLSv1.0 加密協(xié)議的話就會被判定為 PCI DSS 不合規(guī)。

解決方法很簡單,就是刪除TLSv1 即可。

nginx將紅框中的TLSv1刪除

https開啟SSL給網(wǎng)站添加一把小綠鎖

nginx將紅框中的TLSv1刪除

apache 則是添加TLSv1到紅框中

https開啟SSL給網(wǎng)站添加一把小綠鎖

apache添加TLSv1到紅框中

然后重啟nginx或apache,再去檢測一下就發(fā)現(xiàn)全部合規(guī)了。

weinxin
下載密碼:526663

發(fā)表評論

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: