PCI 数据安全标准 3.1建议禁用“早期 TLS”和 SSL:
SSL 和早期 TLS 不被视为强加密,在 2016 年 6 月 30 日之后不能用作安全控制。
从SSL 迁移和早期 TLS 补充说明:
最好的回应是完全禁用 SSL 并迁移到更现代的加密协议,该协议在发布时至少是 TLS v1.1,尽管强烈鼓励实体考虑 TLS v1.2。
关于 TLS 1.0 的弃用,我有几个问题:
- 这个建议的原因是什么?TLS 1.0 协议是否存在已知漏洞?(我知道一些错误的 TLS实现容易受到 POODLE 的攻击,但SSL Labs扫描表明我的网站没有漏洞。)
- 是否有必要/希望将此标准应用于使用 HTTPS 且不处理信用卡信息的 Web 应用程序?
- 在使用 HTTPS 的面向公众的网站上禁用 TLS 1.0 并限制为 TLS 1.1 或 1.2 是否可能会破坏大部分用户的浏览器兼容性?