天威诚信:你的网站禁用SSL/早期TSL协议了吗?

发布时间:2018-07-18 16:33:00

天威诚信提示:目前,开启 TLS v 1.0 将导致 PCI DSS 不合规

PCI安全标准委员会早在去年发布的博客中提到:为保障支付数据安全,在2018年6月30日之后,所有实体(企业)必须停止使用SSL/早期TLS作为安全控制,并且仅使用安全版本TLS V1.1或更高),强烈建议TLS V1.2。


                                                                     


为何要禁用SSL/早期TLS

SSL/TLS加密两个端点之间的信道,以提供隐私和通过通信信道传输的数据的可靠性。20多年来,安全套接字层(SSL)已经成为市场上使用最广泛的加密协议之一。SSL V3.0在TLS V1.0中被1999取代,此后被TLS V1.1和TLS V1.2取代。

目前,在SSL和早期TLS中存在许多严重的漏洞,会给使用的组织带来被攻击的风险,根据NIST的说法,没有修复或补丁可以充分修复SSL或早期TLS,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。因此,PCI DSS才会要求尽快升级到更安全的协议,并禁用SSL/早期TLS。PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)


什么是PCI DSS

PCI DSS 全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业)数据安全标准,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。


天威诚信建议广大支付行业、电子商务平台尽快禁用TLS V 1.0或更早版本

对于在线交易和电子商务平台,如果仍然开启了TSL V1.0或者更早的协议,将很容易被黑客攻击。因此,天威诚信建议广大在线支付、电子商务等网站立刻检查自己网站的协议,确保自己网站的协议符合PCI要求。

天威诚信是由国际工信部授牌认证的CA机构,拥有全线SSL证书,在过去十几年里服务于全行业超过95%以上的大客户,拥有丰富的行业经验和专业的技术支持服务团队,7*24小时全天候服务,将为您提供最优质的本地化服务。

 

FromPCI Security Standards blog

 

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
美国最大的丙烷供应商AmeriGas自曝发生了数据泄露
惊!91%的工业企业容易遭受网络攻击
5.33亿Facebook用户的电话号码在黑客论坛被泄露
“滴滴事件”敲响个人信息安全警钟
不知道如何“不见面”招投标?天威诚信来帮你!
由于证书过期,Pulse Secure VPN用户无法登录
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
加州大学遭勒索软件攻击,隐私数据大规模泄漏
划重点!《人民法院在线诉讼规则》正在施行中