PCI DSS全面禁用SSL协议和低版本TLS协议，本周生效

PCI DSS合规标准将于2018年6月30日生效，该标准要求禁用SSL协议和低版本TLS协议，HTTPS配置应实施更安全的加密协议（TLS v1.1或更高版本，强烈建议使用TLS v1.2），以满足PCI DSS合规标准的要求，从而保护支付数据。

什么是PCI DSS标准？

PCI DSS，全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准，是由PCI安全标准委员会制定，力在使国际上采用一致的数据安全措施。

PCI DSS全称Payment Card Industry Data Security Standard（支付卡行业数据安全标准），是由PCI安全标准委员会制定，力在使国际上采用一致的数据安全措施，简称PCI DSS。 

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求，其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等，全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体，包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。

哪些是SSL协议和低版本TLS协议?

Netscape在1994年创建了SSL协议的原始规范，SSL协议和TLS协议历史上已经经历多次版本更新迭代，SSL 2.0、SSL 3.0等SSL协议以及TLS 1.0等低版本TLS协议，已经被证实存在许多严重漏洞，比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。根据NIST的说法，没有任何修复方案或补丁可以解决低版本SSL/TLS协议的漏洞问题，因此尽快升级到最新的TLS协议版本并禁止任何协议版本回退是至关重要的。  

使用低版本SSL/TLS协议的在线和电子商务环境最容易受到低版本协议漏洞的攻击，PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境（付款终端以及它们连接SSL/TLS终端点除外。）

HTTPS配置如何兼容PCI DSS合规标准？

PCI DSS建议支付卡行业组织机构尽快迁移到更安全的协议：

1）更新TLS协议：使用TLS v1.1或更高版本，强烈建议使用TLS v1.2；

2）修复TLS软件抵御漏洞攻击：实施漏洞攻击（如OpenSSL中的Heartbleed漏洞）可能带来严重风险。保持TLS软件保持最新更新状态，确保及时修复漏洞，防止漏洞攻击。

3）配置TLS安全：除了配置更高版本的TLS协议外，请确保TLS安全配置，确保支持安全的TLS密码套件和密钥大小，并禁用对其他不必要的密码套件的支持。

查看沃通CA编译的PCI指南《电子商务最佳安全实践》获取详细指引。

兼容PCI DSS，选用沃通SSL证书

PCI DSS推荐电子商务企业部署OV SSL证书或EV SSL证书，通过更高级别的认证建立在线信任，提升消费者在线交易的信心。沃通SSL证书由全球信任顶级根签发，支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端，具备广泛兼容性，提供OV、EV认证级别的SSL证书，满足PCI DSS合规标准的要求。此外，沃通CA专注数字证书行业十余年，多年的行业经验积累让沃通具备更专业的服务能力，有效帮助电子商务企业正确配置HTTPS兼容PCI DSS标准。沃通资深团队提供全流程顾问式服务，7×24小时全天候响应，是您值得信赖的HTTPS产品服务合作伙伴。搜索沃通CA了解更多HTTPS加密及SSL证书相关信息。

沃通原创文章，转载请注明来源