天威诚信提示:目前,开启 TLS v 1.0 将导致 PCI DSS 不合规
PCI安全标准委员会早在去年发布的博客中提到:为保障支付数据安全,在2018年6月30日之后,所有实体(企业)必须停止使用SSL/早期TLS作为安全控制,并且仅使用安全版本TLS V1.1或更高),强烈建议TLS V1.2。
为何要禁用SSL/早期TLS
SSL/TLS加密两个端点之间的信道,以提供隐私和通过通信信道传输的数据的可靠性。20多年来,安全套接字层(SSL)已经成为市场上使用最广泛的加密协议之一。SSL V3.0在TLS V1.0中被1999取代,此后被TLS V1.1和TLS V1.2取代。
目前,在SSL和早期TLS中存在许多严重的漏洞,会给使用的组织带来被攻击的风险,根据NIST的说法,没有修复或补丁可以充分修复SSL或早期TLS,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。因此,PCI DSS才会要求尽快升级到更安全的协议,并禁用SSL/早期TLS。PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)
什么是PCI DSS
PCI DSS 全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业)数据安全标准,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。
PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。
天威诚信建议广大支付行业、电子商务平台尽快禁用TLS V 1.0或更早版本
对于在线交易和电子商务平台,如果仍然开启了TSL V1.0或者更早的协议,将很容易被黑客攻击。因此,天威诚信建议广大在线支付、电子商务等网站立刻检查自己网站的协议,确保自己网站的协议符合PCI要求。
天威诚信是由国际工信部授牌认证的CA机构,拥有全线SSL证书,在过去十几年里服务于全行业超过95%以上的大客户,拥有丰富的行业经验和专业的技术支持服务团队,7*24小时全天候服务,将为您提供最优质的本地化服务。
From:PCI Security Standards blog