PCI DSS全面禁用SSL协议和低版本TLS协议,本周生效
PCI DSS合规标准将于2018年6月30日生效,该标准要求禁用SSL协议和低版本TLS协议,HTTPS配置应实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2),以满足PCI DSS合规标准的要求,从而保护支付数据。
什么是PCI DSS标准?
PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。
PCI DSS全称Payment Card Industry Data Security Standard(支付卡行业数据安全标准),是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。
PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。
哪些是SSL协议和低版本TLS协议?
Netscape在1994年创建了SSL协议的原始规范,SSL协议和TLS协议历史上已经经历多次版本更新迭代,SSL 2.0、SSL 3.0等SSL协议以及TLS 1.0等低版本TLS协议,已经被证实存在许多严重漏洞,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。根据NIST的说法,没有任何修复方案或补丁可以解决低版本SSL/TLS协议的漏洞问题,因此尽快升级到最新的TLS协议版本并禁止任何协议版本回退是至关重要的。
使用低版本SSL/TLS协议的在线和电子商务环境最容易受到低版本协议漏洞的攻击,PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)
HTTPS配置如何兼容PCI DSS合规标准?
PCI DSS建议支付卡行业组织机构尽快迁移到更安全的协议:
1)更新TLS协议:使用TLS v1.1或更高版本,强烈建议使用TLS v1.2;
2)修复TLS软件抵御漏洞攻击:实施漏洞攻击(如OpenSSL中的Heartbleed漏洞)可能带来严重风险。保持TLS软件保持最新更新状态,确保及时修复漏洞,防止漏洞攻击。
3)配置TLS安全:除了配置更高版本的TLS协议外,请确保TLS安全配置,确保支持安全的TLS密码套件和密钥大小,并禁用对其他不必要的密码套件的支持。
查看沃通CA编译的PCI指南《电子商务最佳安全实践》获取详细指引。
兼容PCI DSS,选用沃通SSL证书
PCI DSS推荐电子商务企业部署OV SSL证书或EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心。沃通SSL证书由全球信任顶级根签发,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端,具备广泛兼容性,提供OV、EV认证级别的SSL证书,满足PCI DSS合规标准的要求。此外,沃通CA专注数字证书行业十余年,多年的行业经验积累让沃通具备更专业的服务能力,有效帮助电子商务企业正确配置HTTPS兼容PCI DSS标准。沃通资深团队提供全流程顾问式服务,7×24小时全天候响应,是您值得信赖的HTTPS产品服务合作伙伴。搜索沃通CA了解更多HTTPS加密及SSL证书相关信息。
沃通原创文章,转载请注明来源
- 点赞
- 收藏
- 关注作者
评论(0)