4006-555-883

天威诚信:你的网站禁用SSL/早期TSL协议了吗?

发布时间:2018-07-18 16:33:00

天威诚信提示:目前,开启 TLS v 1.0 将导致 PCI DSS 不合规

PCI安全标准委员会早在去年发布的博客中提到:为保障支付数据安全,在2018年6月30日之后,所有实体(企业)必须停止使用SSL/早期TLS作为安全控制,并且仅使用安全版本TLS V1.1或更高),强烈建议TLS V1.2。


                                                                     


为何要禁用SSL/早期TLS

SSL/TLS加密两个端点之间的信道,以提供隐私和通过通信信道传输的数据的可靠性。20多年来,安全套接字层(SSL)已经成为市场上使用最广泛的加密协议之一。SSL V3.0在TLS V1.0中被1999取代,此后被TLS V1.1和TLS V1.2取代。

目前,在SSL和早期TLS中存在许多严重的漏洞,会给使用的组织带来被攻击的风险,根据NIST的说法,没有修复或补丁可以充分修复SSL或早期TLS,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。因此,PCI DSS才会要求尽快升级到更安全的协议,并禁用SSL/早期TLS。PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)


什么是PCI DSS

PCI DSS 全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业)数据安全标准,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。


天威诚信建议广大支付行业、电子商务平台尽快禁用TLS V 1.0或更早版本

对于在线交易和电子商务平台,如果仍然开启了TSL V1.0或者更早的协议,将很容易被黑客攻击。因此,天威诚信建议广大在线支付、电子商务等网站立刻检查自己网站的协议,确保自己网站的协议符合PCI要求。

天威诚信是由国际工信部授牌认证的CA机构,拥有全线SSL证书,在过去十几年里服务于全行业超过95%以上的大客户,拥有丰富的行业经验和专业的技术支持服务团队,7*24小时全天候服务,将为您提供最优质的本地化服务。

 

FromPCI Security Standards blog

 

最新发布
1
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
2
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
3
14.3亿!这家公司将面临比薇娅还高的罚款
4
形势将更严峻!DigiCert发布2022年度八大安全预测
5
频遭网络诈骗,是因为他们还不知道这个……
6
松下集团发生数据泄露 及时部署SSL证书保障信息安全
7
CA/B 论坛年终会议 | 新要求新前景 S/MIME证书和代码签名更新在即
8
All in 安全 电商之痛应当如何化解
9
CA/B三季度信息汇总:效率与安全并重
10
震惊!欧盟健康码疑遭泄露 天威诚信证书管理系统助力私钥安全
相关推荐
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
《中华人民共和国个人信息保护法》审议通过
形势将更严峻!DigiCert发布2022年度八大安全预测
《网络安全审查办法(修订草案征求意见稿)》解读
惊!91%的工业企业容易遭受网络攻击
规范“人脸识别”,为盗刷者戴上“紧箍咒”
14.3亿!这家公司将面临比薇娅还高的罚款
CA/B三季度信息汇总:效率与安全并重
划重点!《人民法院在线诉讼规则》正在施行中