4006-555-883

天威诚信:你的网站禁用SSL/早期TSL协议了吗?

发布时间:2018-07-18 16:33:00

天威诚信提示:目前,开启 TLS v 1.0 将导致 PCI DSS 不合规

PCI安全标准委员会早在去年发布的博客中提到:为保障支付数据安全,在2018年6月30日之后,所有实体(企业)必须停止使用SSL/早期TLS作为安全控制,并且仅使用安全版本TLS V1.1或更高),强烈建议TLS V1.2。


                                                                     


为何要禁用SSL/早期TLS

SSL/TLS加密两个端点之间的信道,以提供隐私和通过通信信道传输的数据的可靠性。20多年来,安全套接字层(SSL)已经成为市场上使用最广泛的加密协议之一。SSL V3.0在TLS V1.0中被1999取代,此后被TLS V1.1和TLS V1.2取代。

目前,在SSL和早期TLS中存在许多严重的漏洞,会给使用的组织带来被攻击的风险,根据NIST的说法,没有修复或补丁可以充分修复SSL或早期TLS,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。因此,PCI DSS才会要求尽快升级到更安全的协议,并禁用SSL/早期TLS。PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)


什么是PCI DSS

PCI DSS 全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业)数据安全标准,是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。


天威诚信建议广大支付行业、电子商务平台尽快禁用TLS V 1.0或更早版本

对于在线交易和电子商务平台,如果仍然开启了TSL V1.0或者更早的协议,将很容易被黑客攻击。因此,天威诚信建议广大在线支付、电子商务等网站立刻检查自己网站的协议,确保自己网站的协议符合PCI要求。

天威诚信是由国际工信部授牌认证的CA机构,拥有全线SSL证书,在过去十几年里服务于全行业超过95%以上的大客户,拥有丰富的行业经验和专业的技术支持服务团队,7*24小时全天候服务,将为您提供最优质的本地化服务。

 

FromPCI Security Standards blog

 

最新发布
1
供应链采购平台建设难?可能是你没用过这套解决方案
2
人社部印发《数字人社建设行动方案》,数字赋能跑出人社服务“加速度”
3
研究机构对2023年网络安全趋势的三大预测
4
安全为宗,合规为镜|写在《中华人民共和国密码法》施行三周年之际
5
“安满周”开始啦!守护网络信息安全,一定少不了TA
6
国家能源局发布《电力行业网络安全管理办法》,国密算法证书应用迎来快速增长期
7
明年5月1日实施!这项国家标准直指关键信息基础设施安全……
8
全国多地依据《反电信网络诈骗法》实施处罚,如何防诈骗保安全?
9
跟随党的思想指引 共筑网络安全防线
10
Really?这几个行业最容易遭受网络攻击
相关推荐
供应链采购平台建设难?可能是你没用过这套解决方案
人社部印发《数字人社建设行动方案》,数字赋能跑出人社服务“加速度”