PCI DSS全面禁用SSL协议和低版本TLS协议,本周生效

举报
沃通WoTrus 发表于 2018/06/27 11:33:50 2018/06/27
【摘要】 PCI DSS合规标准将于2018年6月30日生效,该标准要求禁用SSL协议和低版本TLS协议

PCI DSS合规标准将于2018年6月30日生效,该标准要求禁用SSL协议和低版本TLS协议,HTTPS配置应实施更安全的加密协议(TLS v1.1或更高版本,强烈建议使用TLS v1.2),以满足PCI DSS合规标准的要求,从而保护支付数据。

PCIDSS.png

什么是PCI DSS标准?

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。

PCI DSS全称Payment Card Industry Data Security Standard(支付卡行业数据安全标准),是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施,简称PCI DSS。 

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。

  

哪些是SSL协议和低版本TLS协议?

Netscape在1994年创建了SSL协议的原始规范,SSL协议和TLS协议历史上已经经历多次版本更新迭代,SSL 2.0、SSL 3.0等SSL协议以及TLS 1.0等低版本TLS协议,已经被证实存在许多严重漏洞,比如POODLE和BEAST攻击就是利用低版本SSL/TLS协议漏洞实现的。根据NIST的说法,没有任何修复方案或补丁可以解决低版本SSL/TLS协议的漏洞问题,因此尽快升级到最新的TLS协议版本并禁止任何协议版本回退是至关重要的。  

使用低版本SSL/TLS协议的在线和电子商务环境最容易受到低版本协议漏洞的攻击,PCI DSS设置的合规期限适用于所有可能受低版本协议漏洞攻击影响的环境(付款终端以及它们连接SSL/TLS终端点除外。)

 

HTTPS配置如何兼容PCI DSS合规标准?

PCI DSS建议支付卡行业组织机构尽快迁移到更安全的协议:

1)更新TLS协议:使用TLS v1.1或更高版本,强烈建议使用TLS v1.2;

2)修复TLS软件抵御漏洞攻击:实施漏洞攻击(如OpenSSL中的Heartbleed漏洞)可能带来严重风险。保持TLS软件保持最新更新状态,确保及时修复漏洞,防止漏洞攻击。

3)配置TLS安全:除了配置更高版本的TLS协议外,请确保TLS安全配置,确保支持安全的TLS密码套件和密钥大小,并禁用对其他不必要的密码套件的支持。

查看沃通CA编译的PCI指南《电子商务最佳安全实践》获取详细指引。

 

兼容PCI DSS,选用沃通SSL证书

PCI DSS推荐电子商务企业部署OV SSL证书或EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心。沃通SSL证书由全球信任顶级根签发,支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各类浏览器、操作系统和移动终端,具备广泛兼容性,提供OV、EV认证级别的SSL证书,满足PCI DSS合规标准的要求。此外,沃通CA专注数字证书行业十余年,多年的行业经验积累让沃通具备更专业的服务能力,有效帮助电子商务企业正确配置HTTPS兼容PCI DSS标准。沃通资深团队提供全流程顾问式服务,7×24小时全天候响应,是您值得信赖的HTTPS产品服务合作伙伴。搜索沃通CA了解更多HTTPS加密及SSL证书相关信息。

   

沃通原创文章,转载请注明来源

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。