2018年6月30日,TLS 1.0及1.1将正式被TLS 1.2取代,所有违反支付卡行业安全标准委员会(PCI SSC)这一规定的公司都可能会高额罚款。

你有电子商务网站吗?你接受在线支付吗?你担心会受到处罚吗?如果所有这三个问题的答案都是‘是的’,那么你应当立即禁用TLS 1.0。思考这个问题的时间已经过去了。你只有几天的时间了。

支付卡行业安全标准委员会(PCI SSC)是一个独立机构,由美国运通、Discover金融服务、JCB国际、万事达卡和Visa有限公司在2006年创建。这些公司创建该机构的目的是保护信用卡持卡人的数据信息,此外,它向所有接受在线支付的供应商指定了12项主要要求。尽管这些要求并不属于任何法律,但这些信用卡公司让接受信用卡支付的商人遵守这些要求变成了一项强制性行为。如果一个商人不能满足要求,那么他们每个月就可能面临高达10万美元的罚款。

在2015年4月发布的PCI DSS v3.1有一个2016年5月的最后期限,以便将SSL和早期的TLS迁移到更新的版本。在这里,“从SSL和早期的TLS迁移”意味着禁用对旧有SSL & TLS版本的支持。最终,这一截止日期被延迟了两年,2018年6月30日是新的截止日期。

在2016年4月发布的PCI DSS v3.2也包括在这一截止日期中。

为什么会发生这种情况?

随着我们不断变老,我们开始失去我们的力量。安全协议也不例外。原始的加密协议安全套接层(SSL)有一个最后的版本,这是在1999年发布的SSL 3.0。由于人们在SSL 版本中发现了漏洞,SSL不久就被TLS取代了。自那以后,已经发布了4个版本的TLS,最初的版本是在1999年发布的TLS 1.0。

SSL和TLS早期的版本一直就被发现容易受到Heartbleed、POODLE、BEAST、CRIME和Bleichenbacher等的攻击——这包括TLS 1.0。这样的一个机会窗口便使得黑客想要截获和篡改客户的敏感的信用卡数据——用技术术语来说,中间人攻击。

当然,这并不像我说的那么容易,但这确实是一种可能——尤其是当涉及到电子商务和在线支付时,因为涉及到明显且丰厚的回报。

需要做什么?

现在,你可能在想为什么我们不直接取缔这一协议。然而,事实上,尽管这听起来很美好,但并不实际。没有一个中心机构能够禁用整个网络上所有旧有的SSL/TLS版本;它必须由服务器管理员在服务器上完成。

许多网站仍旧运行在不支持最新的TLS版本的旧服务器上。比如,Windows Server 2008现在不支持TLS 1.1、1.2和1.3。这样的网站的管理员需要尽快行动,迁移到新服务器上。即使你已经迁移到了新服务器,或已经拥有一个,但你的任务还没有完成。你也需要禁用对SSL/早期TLS的支持。

应当禁用哪些SSL/TLS版本?

PCI SSC的文件中是这样谈到将要禁用的SSL/TLS版本的:

“POI终端设备可以持续使用SSL/早期TLS,只要能够证明POI不会受到当前已知攻击的影响。然而,SSL是一项过时的技术,未来可能会受到其他安全漏洞的威胁;因此,强烈建议POI环境使用TLS v1.1,或者在可能的情况下,使用更高的版本。对POI进行最新一步的部署时应当强烈考虑对TLS 1.2或更高版本的支持和使用。”

简单来说,你需要禁用TLS 1.0和所有SSL版本。此外,从安全角度考虑,还强烈建议禁用TLS 1.1。

难道TLS1.2/1.1不是作为默认使用吗?

大多数情况下,是的。

但正如你所知道的,一些人仍旧运行在与最新的TLS版本不兼容的操作系统上。如果你将旧有的TLS版本留在了服务器上,那么连接就将通过它们建立。这会违反PCI DSS的要求,因此你就可能会受到严厉的谴责。

因此,最终,责任在你我的网站管理员朋友。那么,赶快拿出你的日历,标出日期吧——2018年6月30日。