恰当使用SSL证书只是支付卡行业(PCI)众多要求中的一个,但是却是十分重要的一个。其他的要求则包括安全评估和授权扫描服务商(ASV)扫描,同时取决于你的公司所进行的信用卡交易的次数。数据在网络服务器之间来回传输时,SSL证书允许你对它们进行保护。如果你不能恰当地建立你的网络服务器来使用SSL证书,你就不能满足PCI标准,而要想在你的网站上接受信用卡,这个标准是必需的。我们在之前讨论过,尽管PCI标准在保护消费者信息和身份方面并不十分理想,但是它们能够使信用卡交易变得更安全。
VeriSign的Tim Callan近来进行了一次有关SSL证书和PCI合规性的信息网络直播。在此次网络直播中,他提到了以下几点:
• PCI要求在传输数据时,对信用卡文件夹信息进行适当的加密
• 至少使用128位的加密
• 网络钓鱼是电子商务中一个日趋严重的问题
• 建议使用服务器网关加密(SGC)证书,因此其他潜在的0.3%的访问者(使用诸如Internet Explorer 5等的老的浏览器)就能访问你的网站。但是,我们一般不建议使用SGC证书,因为它鼓励人们使用老的、拥有大量其他安全问题的浏览器。负责任的做法是使用一个常规的SSL证书(相比SGC证书花费更少),并要求在网络服务器上进行128位的加密。同时,鼓励那0.3%使用了易受到攻击的网络浏览器的访问者对其浏览器进行更新,因此他们便能够避免其他的安全问题。
• 你需要确保设置了服务器,因此并没有使用弱的加密比率(40位,50位)。
• PCI标准中对EV证书并没有特别要求,但是它们能够帮助制止网络钓鱼,并增加你的产品的购买人数。
PCI标准明确规定了以下关于SSL的内容:
在通过开放的、公有的网络进行数据传输的过程中,使用诸如SSL/TLS或Internet 协议安全性(IPSEC)等的强加密和安全协议来保护敏感的持卡人。
验证加密使用(比如SSL/TLS或IPSEC),无论持卡人的数据是在哪里经由开放的、公有的网络传输的
• 验证在数据传输时使用了强加密
• 对于SSL执行:
—验证服务器支持最新的补丁版。
—验证HTTPS看起来像是浏览器通用记录定位器(URL)的一部分。
—验证当HTTPS没有在URL中进行显示时,对持卡人的数据没有要求。
• 接收到交易时,选择一个交易样本,并在交易开始验证持卡人的数据在传输时进行了加密的过程中,观察不同交易。
• 验证只接受可信的SSL/TLS密钥和证书。
• 验证加密强度适当。