4006-555-883

天威诚信:你的网站禁用SSL/早期TSL协议了吗?

发布时间:2018-07-18 16:33:00

天威诚信提示:目前,开启 TLS v 1.0 将导致 PCI DSS 不合规

PCI安全标准委员会早在去年发布的博客中提到:为保障支付数据安全,在2018年6月30日之后,所有实体(企业)必须停止使用SSL/早期TLS作为安全控制,并且仅使用安全版本TLS V1.1或更高),强烈建议TLS V1.2。


                                                                     


为何要禁用SSL/早期TLS

SSL/TLS加密两个端点之间的信道,以提供隐私和通过通信信道传输的数据的可靠性。20多年来,安全套接字层(SSL)已经成为市场上使用最广泛的加密协议之一。SSL V3.0在TLS V1.0中被1999取代,此后被TLS V1.1和TLS V1.2取代。

目前,在SSL和早期TLS中存在许多严重的漏洞,会给使用的组织带来被攻击的风险,根据NIST的说法,没有修复或补丁可以充分修复SSL或早期TLS,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。因此,PCI DSS才会要求尽快升级到更安全的协议,并禁用SSL/早期TLS。PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)


什么是PCI DSS

PCI DSS 全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业)数据安全标准,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。


天威诚信建议广大支付行业、电子商务平台尽快禁用TLS V 1.0或更早版本

对于在线交易和电子商务平台,如果仍然开启了TSL V1.0或者更早的协议,将很容易被黑客攻击。因此,天威诚信建议广大在线支付、电子商务等网站立刻检查自己网站的协议,确保自己网站的协议符合PCI要求。

天威诚信是由国际工信部授牌认证的CA机构,拥有全线SSL证书,在过去十几年里服务于全行业超过95%以上的大客户,拥有丰富的行业经验和专业的技术支持服务团队,7*24小时全天候服务,将为您提供最优质的本地化服务。

 

FromPCI Security Standards blog

 

最新发布
1
“羊了个羊”火遍全网,警方发布紧急提醒……
2
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
3
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
4
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
5
5年损失超430亿美元!你的电子邮件系统还安全吗?
6
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
7
4亿多条用户信息被盗,企业网站信息安全如何防护?
8
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
9
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
10
国家新安全技术标准发布!公有云个人信息保护成关注焦点
相关推荐
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
政府机构频遭黑客攻击,国密改造亟需加快推进
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
4·15国家安全教育日 | 网络安全,你我共建
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
5年损失超430亿美元!你的电子邮件系统还安全吗?