为了符合支付卡行业数据安全标准(PCI DSS)并符合行业最佳实践,GlobalSign将在2018年6月21日禁用TLS1.0TLS1.1。由于已知的安全漏洞,PCI标准规定TLS1 .0安全通信于2018年6月30日不再生效。

所以我们现在是时候跟TLS1.0说再见了。

我使用的宝塔,所以给大家说宝塔如何操作:

1.进入站点设置→配置文件

IMG_20190923_180024.jpg
这个就是默认的配置,首先现在要做的是停用TLS1.0

2.停用TLS1.0

IMG_20190923_180252.jpg

请看上图,我标示的这里直接删除即可。

3.开启HTST(HTTP严格传输安全HSTS)

首先我们需要加入以下响应头部:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

IMG_20190923_182157.jpg

上图就是我设置好的,我是加在顶部,其实加在最下面也可以。

网站开启HTST的作用:

1、预防SSLStrip 的中间人攻击,有效避免了中间人对 80 端口的劫持。

2、如果证书出现错误,则显示错误,用户不能回避警告。

3、为浏览器节省来一次 302/301 的跳转请求,大大提升安全系数和用户体验。

4、节省 HTTPS 通信 RT 和强制使用 HTTPS 。

最后修改:2019 年 11 月 16 日 02 : 26 AM
如果觉得我的文章对你有用,请随意赞赏