PCI DSS合規標準於2018年6月30日生效,該標準要求禁用SSL協議和低版本TLS協議。
具體如何操作呢,針對haproxy代理服務器和openshift router分別進行講解。
1.haproxy服務器需要修改/etc/haproxy/haproxy.cfg,如下圖,添加no-sslv3 no-tlsv10 no-tlsv11
重啓haproxy服務,systemctl restart haproxy
2.opesnhift router禁用低版本協議
haproxy router鏡像版本v3.11.200及以上在haproxy-config.templatehaproxy-config.template中直接定義最低協議版本,而該只可以通過讀取環境變量獲取,故直接添加環境變量SSL_MIN_VERSION:TLSv1.2即可。
haproxy router鏡像可在官網獲取https://catalog.redhat.com/software/containers/detail/57ea8d0a9c624c035f96f452
