我的公司收到此消息,导致我们的 TrustKeeper PCI 合规性扫描失败:
扫描客户注意事项:该漏洞在国家漏洞数据库中未被识别。TLS v1.0 违反 PCI DSS 并被视为自动失败条件。
根据:http ://en.wikipedia.org/wiki/Transport_Layer_Security
TLS 1.1 在 IE10 中默认禁用,并且在旧版本中根本不可用。我们有大量的 IE 受众。
这是否意味着如果我们进行此更改,我们所有未启用或支持 TLS 1.1 的用户将无法再使用我们的网站?这似乎来得太快了。我错过了什么吗?我们所有的流量都通过负载均衡器提供服务,是否可以为不支持 TLS 1.1 的用户显示某种消息?
简洁版本:
长版:
PCI DSS 3.1 于两周前于 2015 年 4 月 14 日发布。它列出了
SSL 和早期 TLS 不被视为强加密,在 2016 年 6 月 30 日之后不能用作安全控制。
2015 年 12 月,迁移现有应用程序的日期被推迟了两年:
支付卡行业安全标准委员会 (PCI SSC) 将迁移完成日期延长至 2018 年 6 月 30 日,以便从 SSL 和 TLS 1.0 过渡到 TLS 的安全版本(当前为 v1.1 或更高版本)。
PCI SSC 截至 2015 年 12 月提供的这些日期将取代 PCI 数据安全标准 v3.1 (DSS 3.1) 和 2015 年 4 月从 SSL 迁移和早期 TLS 信息补充中发布的原始日期。
据我了解,“新应用”还是要按照1.1+的新要求来实现的;该扩展仅适用于 2015 年 4 月之前使用 TLS 1.0 的现有应用程序。
“早期 TLS”的定义是 QSA 之间激烈辩论的主题,但可以肯定地说 1.0 是其中的一部分(而 1.1?可能是!等着瞧吧!)。(更新 - 截至 2015 年 12 月,1.1 仍然是“安全的”)
以下是 TrustWave 表示他们正在实施这些指南的方式:
- 新的实现必须使用 SSL 和早期 TLS 的替代方案。
- 已实施 SSL 和早期 TLS 的组织必须制定风险缓解和迁移计划。
- 在 2016 年 6 月 30 日之前,经批准的扫描供应商 (ASV) 可以在 ASV 扫描报告中记录收到组织风险缓解和迁移计划作为例外情况(根据 ASV 计划指南)。
- 在 2016 年 6 月 30 日之后,经验证不易受到所有已知 SSL 和早期 TLS 攻击的销售点 (POS) 或交互点 (POI) 设备可能会继续使用这些协议作为安全控制。
因此,如果它是一个新应用程序,您可能必须删除 TLS 1.0 支持。如果不是,请推迟 TrustWave 并找出他们需要什么样的“风险缓解和迁移计划”。
(将@mti2935 的链接从评论中拉出来,这里是Trustwave 的风险计划模板。谢谢@mti2935!)
PCI DSS 确实禁止 TLSv1.0。不,您将无法在不违反 PCI DSS 的情况下向 TLSv1.0 用户显示消息,因为向最终用户显示消息意味着您必须完成 TLSv1.0 协商。从技术上讲,可以配置服务器端脚本来检查 TLSv1.0 的 SSL 环境变量,并在这种情况下显示错误消息,但 PCI DSS 不允许这样做。
无论您是为了接受信用卡数据而完成协商,还是为了显示“请升级您的浏览器”消息而完成协商,都没有关系。完全禁止仅接受或提供 SSv2、SSLv3 或 TLSv1.0。
由于 PCI DSS 扫描是自动的,并且在协商状态下失败,因此即使在检测到 TLSv1.0 连接时推送 HTTP 403 也无所谓。
但是,我可以说IE10的用户很少。IE10 随附旧的 Windows 7 媒体,在大多数情况下,这些媒体会通过 Windows 更新自动升级。您必须与那些用户斗争的是 IE8,即来自 Windows XP 的用户,以及 IE9,即在 Vista 上最大可用的用户。Windows 7 及更高版本的用户确实有 IE11。
在 http 端运行检查。
这会检查浏览器并在不支持时抛出错误。否则重定向到安全站点。
第二个站点是支持您需要的 PCI 服务器。这是你扫描的那个。
如果用户直接点击该站点,他们的会话将失败。您无法为用户提供反馈。确保您的所有链接都将用户指向http://secure.example.com。
如果用户以某种方式复制/粘贴指向安全站点的链接,他们仍然不会收到通知。但是,如果他们正常导航到安全区域,他们应该没有问题。