关注网络安全
和行业未来

SSL即将引退? PCI DSS v3.2提出对SSL和Early TLS进行迁移

根据PCI DSS v3.2,截至2017年5月1日,SSL和Early TLS漏洞(如QID 38628“SSL / TLS服务器支持TLSv1.0”)将被标记为PCI失败。对于现有的实施方式,商家将能够提交PCI错误肯定/异常请求并提供其风险缓解和迁移计划的证明,这将使得PCI在2018年6月30日之前获得通过。

PCI DSS v3.2 规定,无论SSL/Early TLS用在哪儿,附录A2都必须被完成。附录A2细化了风险迁移和减缓计划的要求以及SSL / Early TLS的迁移日期:

  • SSL/Early TLS不能被用于新的实施部署;
  • SSL/Early TLS在2018年6月30日后不得被继续使用; 
  • 在2018年6月30日之前,现有的实施必须有一个风险缓解和迁移计划。

从SSL和Early TLS v1.1迁移的信息补充新版本也已经发布,其中列出了以下内容:

在2018年6月30日之前:未完成迁移的实体应向ASV提供文件确认,说明他们已经实施了”风险缓解和迁移计划“,并且正在努力在规定的日期完成迁移。 ASV扫描报告执行摘要中的“异常,假阳性或补偿控制(Exceptions, False Positives, or Compensating Controls)”下的例外情况,ASV应记录此确认的收据。如果主机满足所有适用的扫描要求,ASV可能会为该扫描组件或主机发出“通过”结果。

相关文件可在PCI Council Document Library中找到。

PCI Council的建议是全面禁用SSL并迁移到更现代化的加密协议,尽管强烈建议从业者考虑TLS v1.2,但至少须迁移到TLS v1.1。需要注意的是,并非所有TLS v1.1的实现都是安全的。 有关安全TLS配置的指导,请参阅NIST SP 800-52 rev 1。

Migrating from SSL and Early TLS

稿源:ssllab

评论 抢沙发