PCI合规截止日期:你必须在6月30日之前禁用TLS 1.0

你有电子商务网站吗?你接受在线支付吗?你担心会受到处罚吗?如果所有三个问题的答案都是'是',那么您应该立即禁用TLS 1.0。思考它的时间已经过去了。你只有几天!

支付卡行业安全标准委员会(PCI SSC)是由美国运通,Discover金融服务,JCB国际,万事达卡和Visa Inc.于2006年组成的独立机构。该机构的成立旨在保护持卡人的数据,并规定了十二所有接受在线支付的供应商的主要要求。虽然这些要求不是任何法律的一部分,但他们的支付卡公司已经强制接受信用卡支付的商家。如果商家不符合规定,他们可能面临每月高达10万美元的罚款。

2015年4月发布的PCI DSS v3.1将2016年6月的最后期限从SSL和早期TLS迁移到更新,更安全的版本。这里,“从SSL和早期TLS迁移”意味着禁用对旧版SSL和TLS版本的支持。最终,截止日期延长了两年,并于2018年6月30日成为新的最后期限。

2016年4月发布的PCI DSS v3.2也包括此截止日期。

安全套接字层(SSL),原始密码协议在1999年发布了其最新版本(SSL 3.0)。由于SSL版本中存在漏洞,SSL很快被TLS取代。 自那以后,包括TLS 1.0在内已发布了四个版本。

早期版本的SSL和TLS已经被发现容易受到诸如Heartbleed,POODLE,BEAST,CRIME和Bleichenbacher等漏洞的影响 - 这包括TLS 1.0。这样的机会之窗吸引了黑客拦截并篡改客户的敏感信用卡数据 - 以技术术语来说是一种中间人攻击。

当然,搞一套中间人攻击不是什么容易的事,但它发生的可能性对涉及在线支付的电商类网站却是致命的。

你或许会问,为什么我们不直接把那些带漏洞的协议给禁了呢? 因为没有任何一个机构可以禁用整个互联网的旧SSL/TLS版本,它必须由服务器管理员在服务器上完成。

许多网站仍旧在不支持最新TLS版本的旧服务器上运行。 例如,Windows Server 2008不支持TLS 1.1,1.2和1.3。 这些网站的管理员需要尽快行动并迁移到较新的服务器。 即使您已经迁移到较新的服务器或者已经拥有一台服务器,您仍然没有完成。 您还需要禁用对SSL /早期TLS的支持。

哪些SSL / TLS版本应该被禁用?

这是来自PCI SSC的文件所说的关于SSL / TLS版本被禁用的内容:

POI可以继续使用SSL /早期TLS,但仅在它可以显示POI不容易受到当前已知的漏洞攻击时。 但是,SSL是一种过时的技术,将来可能会面临额外的安全漏洞; 因此强烈建议POI环境尽可能使用TLS v1.1或更高版本。 POI的新实现应该强烈考虑支持和使用TLS 1.2或更高版本。 如果环境中不需要SSL /早期TLS,则应禁用对这些版本的使用和降级。

TLS 1.2 / 1.1不是已经被用作默认了吗?

大多数情况下,是这样没错。

但就像某些高校还用着被微软弃疗的Win XP一样,新版本的TLS根本就无法在这些旧系统上兼容。 如果您在服务器上打开了较旧的TLS版本,则会建立连接。 这将违反PCI DSS的要求,您可能会受到严厉处罚。

网站管理员需要抓紧时间了!离2018年6月30日还有三天,你准备好了吗?

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180628A0DJLY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券