TLS 1.0协议引发PCI DSS 不合规,到底需不需要开启1.0协议

PCI DSS，全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准，是由 PCI 安全标准委员会制定，力在使国际上采用一致的数据安全措施。

早在去年 6 月 30 号 PCI 安全标准委员会官方发表博文将于 2018 年 6 月 30 号（最晚），也就是上月月底禁用早期 SSL/TLS，并实施更安全的加密协议(TLS v1.1 或更高版本,强烈建议使用 TLS v1.2)以满足 PCI 数据安全标准的要求，从而保护支付数据。

解决方法

通过了解，我们知道这是安全性要求升级了，如果原有站点没有禁用 TLS1.0 就将被提示不合规。

由于WQ的服务器使用的 NGINX 服务器环境，所以在对于网站的配置文件中删除 TLSv1 就搞定了，如下所示：

1

ssl_protocols TLSv1.1 TLSv1.2 LSv1.3;

当然如果你的证书支持 1.3 也可以继续添加，当时不得不说的是，禁止老版本的协议可能会导致某些意想不到的问题，就像之前WQ因为把这个协议版本修改后就导致微博不能够正常抓取网站图片，就导致微博分享图片失败的情况。

所以考虑自身实际情况，当然WQ是非常建议大家及时跟进会比较好，即使就像WQ博客没有支付相关的安全需求，但是较强的配置也能够在一定层面上提升网站的安全。

还有必要用1.0吗？

本来WQ还在纠结了，因为有些程序还只认1.0协议，那岂不是丢失了一些流量吗？但是当我看到一篇报道后就有了答案：

适用于Windows、macOS和GNU/Linux桌面平台的Mozilla本月10日刚刚发布了Firefox 74版本更新，目前用户可以访问官方服务器进行下载。现在更新日志虽并未放出，不过可以确认这是首个禁止访问使用TLS 1.0和TLS 1.1的HTTPS 网站的浏览器版本。

更具体地说，这意味着，如果您更新到Firefox 74，并且尝试加载仍使用这两个旧版本的网站，则在页面加载时会出现错误消息“安全连接失败”。

不止如此，按计划大多数主流浏览器将于本月晚些时候停止支持旧版协议。

2018 年，在春季TLS 1. 3 版本发布之后，苹果、谷歌、Mozilla和微软四大浏览器制造商于 2018 年 10 月联合宣布计划在 2020 年初取消对TLS 1. 0 和TLS 1. 1 的支持。

Chrome、Firefox等浏览器在去年就开始在使用TLS 1. 0 和TLS 1. 1 的网站上贴上标签，在URL地址栏和锁定图标显示“不安全”标识，暗示用户HTTPS连接并不像他们想象的那样安全。

TLS 1.0和TLS 1.1协议为何遭到摒弃？

TLS全称为：Transport Layer Security——安全传输层协议，用于在两个通信应用程序之间提供保密性和数据完整性。TLS 1. 0 和TLS 1. 1 是分别于 1996 年和 2006 年发布的老版协议，使用的是弱加密算法和系统。比如SHA-1和MD5，这些算法和系统十分脆弱，存在重大安全漏洞，容易受到降级攻击的严重影响，而在 2008 年和 2017 年分别发布了协议的新版本，分为TLS 1. 2 和TLS 1.3，无疑更优于旧版本，使用起来也更安全。

这对普通浏览器用户意味着什么呢？

此次变更对普通浏览器用户没有什么影响。Safari、Chrome、Edge和Internet Explorer浏览器的连接只有很少一部分仍然在使用TLS 1.0或TLS 1.1。到目前为止，由于大多数网站都支持TLS 1.2或TLS 1.3版本协议，所以除了部分长久没有更新架构的行业服务器外，一般互联网用户的浏览不会遇到太大问题。

网站应该怎么样做？

根据英国技术公司Netcraft发布的一份报告，超过 85 万个网站仍在使用旧的TLS 1. 0 和TLS 1. 1 协议，涉及的主要包括银行、政府、新闻机构、电信、电子商务商店和互联网社区的网站，其中超过 5000 个排名在Alexa前 100 万个网站中。

看到这里的网友们肯定也有了心中的答案了吧，是的 我们要与时代接轨！哈哈哈哈！