合规 - HTTPS 安全最佳实践

常见弱密钥以及修复建议

服务器使用了anonymous套件匿名加密套件检测（CVE-2007-1858），支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议，19个ANON类加密套件，包含DES、AES、CAMELLIA和ARIA等算法。TLS_DH_ANON_WITH_AES_256_GCM_SHA384TLS_DH_ANON_WITH_AES_128_GCM_SHA256TLS_DH_ANON_WITH_AES_

https

证书相关问题以及修复建议

使用了不可信的证书证书由正规机构签发，拥有完整证书链，并且根证书在系统和浏览器中可信。证书签发过程可查，可追踪。怎么解决证书不可信?申请或购买正规证书提供商的证书。证书链不完整证书与上级签发证书组成的可信链，是浏览器检查网站是否可信的关键，不完整的证书链有一定概率导致浏览器判定网站为不可信。怎么解决证书链不完整?证书链下载 https://myssl.com/chain_download.html输入域名或者上传证书文件，下载补全的证书链信息使用了Symantec旧PKI平台在2016年6月1日前签发的证书关于Symantec旧平台签发的证书升级提示说明 https://blog.myssl.com/symantec-update-tip/使用了不符合CT政策的证书Chrome 证书透明度（CT）相关政策 https://blog.myssl.com/chrome-certificates-transparency-ct-policy/

ct

Apple 证书透明度（CT）相关政策

TLS 服务器身份验证证书必须符合 Apple 的证书透明性（CT）策略，才能在 Apple 平台上被评估为受信任的。如果证书不符合 Apple 的政策，则会导致 TLS 连接失败，这可能会中断应用程序与 Internet 服务的连接或 Safari 的无缝连接能力。在 2021 年第一季度，Apple 提出了自己的证书透明度日志计划。政策要求加入 Apple 证书透明度日志计划，日志必须满足以下所有要求：日志实例必须按照 RFC6962 中的规定来实施 CT。

pci-dss

更严格的PCI DSS合规标准

PCI DSS，全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准，是由PCI安全标准委员会制定，力在使国际上采用一致的数据安全措施。早在去年6月30号PCI安全标准委员会官方发表博文将于2018年6月30号（最晚），也就是本月月底禁用早期SSL/TLS，并实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2)以满足PCI数据安全标准的要求，从而保护支付数据。随着时间的临近，我们提前调整了PCI DSS合规判定标准（在原有的标准之上，支持TLS v1.0或更早的加密协议将会判定为不合规），方便您提前调整您的服务以避免违规的风险。解决方案