调整 ssl_protocols 以便符合更严格的 PCI DSS 合规标准

最近明月为了使用 SSL 的 TLSv1.3 已经将 CDN 切换到又拍云 CDN 了，因为又拍云 CDN 已经全面支持 TLSv1.3 了，这么高大上的 CDN 明月没有理由不尝鲜支持的了。可是在通过又拍云的 HTTPS 安全检测的时候竟然出现了红色的“不合规”提示（如下图所示），很明显这不科学呀！PCI DSS 是个什么东东？为啥就不合规了呢？

第一时间明月就找度娘、谷姐使劲搜索了一下，基本上算是搞明白这个 PCI DSS 是什么了？也知道为啥不合规了，下面就给大家讲解一番：

PCI DSS，全称 Payment Card Industry Data Security Standard,第三方支付行业数据安全标准，是由 PCI 安全标准委员会制定，力在使国际上采用一致的数据安全措施。

PCI DSS 的合规与否直接影响了用户的数据安全，随着早前的 SSL/TLS 的安全性降低，PCI DSS 合规标准也随之调整。

早在去年 6 月 30 号 PCI 安全标准委员会官方发表博文将于 2018 年 6 月 30 号（最晚），也就是本月月底禁用早期 SSL/TLS，并实施更安全的加密协议(TLS v1.1 或更高版本,强烈建议使用 TLS v1.2)以满足 PCI 数据安全标准的要求，从而保护支付数据。

看到这里大家应该就明白了，所谓的 PCI DSS（第三方支付行业数据安全标准）“不合规”的提示，应该算是 HTTPS 安全检测 （其实就是MySSL.com）工具提前调整了 PCI DSS 合规判定标准（在原有的标准之上，支持 TLS v1.0 或更早的加密协议将会判定为不合规），方便您提前调整您的服务以避免违规的风险。

解决办法是超级简单，明月就拿 Nginx 为例，只需在对应的站点配置文件里禁用 TLSv1.0 即可，下图即为最终修改后的：

修改完成保存退出，然后记得重启一下 Nginx 哦！

完成上述操作后再次检测就不会再有 PCI DSS 不合规的提示了，明月实测的时候也不知道是因为 CDN 缓存的原因还是啥原因，依然会显示 PCI DSS 不合规，不管了，反正只要是禁用了 TLSv1.0 就可以了，理论上这样就是合规的。

最新检测截图，不同 CDN 节点呈现的检测结果会有不同，看来真的是缓存原因