问PCI所要求的TLS的具体特征是什么，哪些参考说明了这些特性？

EN

我要问的是，是否有任何权威的来源，特别是满足PCI需求的框架/标准，您的实现可以遵循的东西，所有的TLS安全考虑和客户端和服务器端点的安全配置？

对你简洁问题的简洁回答是否定的。只有标准和术语表是规范的。

请记住，PCI是一个基线安全标准。这并不是一本好的实践手册，部分原因是2016年的良好实践将不会在标准的整个生命周期中一直保持下去。这就是为什么它很擅长说你不能使用的东西(SSL)，但是很不愿意说出你可以或应该使用的东西。

强密码的术语表定义有两个基本要求。

• 密钥大小：> 112位有效密钥强度
• 算法:经过行业测试和接受(即不要写自己的)

该标准有4.1中列出的三个要求。

• 受信任的密钥和证书
• 安全版本或信任
• 加密强度是合适的(见术语表)

如果一个实现满足这些需求，它将通过PCI。应由实体记录它们如何做到这一点，并由评估人员验证这一方法。标准并没有说“选择你自己的标准并遵循它”。它说(翻译)来自标准机构的文件可以帮助你找出业界目前所认为的“强大的密码和安全协议”。

老实说，从你的问题中，你可能比一般的QSA更了解TLS --所以做出好的安全决定，记录你的选择以及它们如何满足要求，这应该能满足你的评估人员的要求。

您还会发现以下PCI SSC常见问题很有用：

1491: PCI定义了必须使用哪些版本的TLS吗？https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/Does-PCI-DSS-define-which-versions-of-TLS-must-be-used

1461: TLS 1.3的安全考虑是什么？https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/What-are-the-security-considerations-for-TLS-1-3

老实说，gowenfawr的回答是：

不，没有。

就像这个一样正确。

我要问的是，是否有任何权威的来源，特别是满足PCI需求的框架/标准，您的实现可以遵循的东西，所有的TLS安全考虑和客户端和服务器端点的安全配置？

不，没有。

PCI提供的指导非常有限，例如围绕从SSL和早期TLS迁移所做的大量工作。但即便是在那时，他们也只触及了TLS版本，并有了这种模糊的语言来涵盖其他所有内容：

除了提供对TLS后期版本的支持外，还确保您的TLS实现是安全配置的。确保您支持安全的TLS密码套件和密钥大小，并禁用对互操作性不需要的其他密码套件的支持。例如，禁用对弱“导出级”加密技术的支持，

他们还澄清了许多密码已经退休的事实：

此外，不允许使用弱密码套件或未经批准的算法-例如RC4、MD5和其他算法。

除此之外，谁来决定什么是“安全配置”？ASV和QSA。例如，他们最初说RC4不好，所以不要再使用它了。至少对于QSA来说，有一半的时间是在运行SSL实验室的打印输出，并决定您需要从中解决什么问题。