宝塔面板+Apache服务器的SSL证书 PCI DSS不合规的解决办法

PCI DSS是什么？

　　全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业PCI DSS)数据安全标准，是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定，立在使国际上采用一致的数据安全措施，简称PCI DSS。

　　PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS包括一组保护持卡人信息的基本要求，并可能增加额外的管控措施，以进一步降低风险。

HTTPS安全检测出PCI DSS不合格

在又拍云使用HTTPS安全检测（https://www.upyun.com/https），发现“PCI DSS”不合格。

解决办法

打开站点的设置，找到配置文件，搜索SSLProtocol，找到如下图。

在此行后面添加 -TLSv1，禁用TLS1.0，再点“保存”。

在又拍云的[HTTPS安全检测]再次刷新报告，PCI DSS已合格。

为什么要禁用TLS1.0？

　　MySSL发表的博文中，在2018年6月30日，禁用早期SSL/TLS，并实施更安全的加密协议（TLS v1.1或更高版本,强烈建议使用TLS v1.2）以满足PCI数据安全标准的要求，从而保护支付数据。随着时间的临近，我们提前调整了PCI DSS合规判定标准（在原有的标准之上，支持TLS v1.0或更早的加密协议将会判定为不合规），方便您提前调整您的服务以避免违规的风险。

博文网址：https://blog.myssl.com/pci-dss/