NGNIX、SSL 證書和 PC-DSSI 3.1
我們目前正在開發的 Web 應用程序必須通過 PCI 3.1 審核。它在 Debian 下執行 NGINX 的 Amazon EC2 上。
我們正在與賽門鐵克聯繫以獲取證書,我們對帶有 EV 和萬用字元的 Secure Site Pro 特別感興趣(我們將擁有一台具有動態子域名的伺服器,這就是我們考慮使用萬用字元的原因)
我只是想確保我不會花費數千美元並發現這些對於 PCI 3.1 來說是不夠的,或者 NGINX 和 Debian 的組合不適用於這些類型的證書。
有沒有人有嘗試符合 PCI-DSS 3.1 的經驗,可以就我們應該獲得哪些 SSL 證書提供一些建議?
警告:我從來不需要通過 PCI 認證。這是基於我針對您的問題對該主題的研究。
看起來 PCI3.0 和 PCI3.1 之間的主要區別在於 3.1 要求
TLS1.1或更高版本。無法使用 SSL3 或 TLS1.0。請參閱http://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/雖然,在某些地方他們甚至提到不允許使用 TLS1.1。但是,如果只有 TLS1.2,您可能會切斷大量訪問者,例如低於 4.4 的 Android 和低於 11 的所有 IE。如果您的業務可以接受,那就去吧。此外,似乎沒有明確要求 EV 證書。它們有利於站點辨識以幫助阻止網路釣魚,但這不是 PCI 的嚴格要求。
我也看不到任何禁止萬用字元證書的東西。
只要其信任鍊是訪問者瀏覽器的一部分,您就可以獲得任何萬用字元證書。它不必是 EV 證書,也不必來自賽門鐵克。
設置的一個重要部分是確保 Nginx 或其他 SSL 終止軟體/硬體使用正確的加密設置。Mozilla 創建了一個不錯的頁面,允許您選擇組件及其版本,它會為您生成“最佳實踐”配置。請參閱https://mozilla.github.io/server-side-tls/ssl-config-generator/>和<https://wiki.mozilla.org/Security/Server_Side_TLS