售前咨询
技术支持
渠道合作

PCI DSS合规标准:禁用不安全的TLS 1.0

对于电子商务行业来说,在线支付功能是网络平台最常见的板块。但也是因为在线支付功能,令电子商务平台成为了网络黑客集中攻击的对象。因此网络安全在电子商务平台担任着举足轻重的角色,为了保障网民的资金安全,互联网出台了一系列网络支付安全标准。其中,由PCI安全标准委员会制定的安全标准最具有代表性。

PCI DSS,全称Payment Card Industry Data Security Standard,第三方支付行业数据安全标准,是由PCI安全标准委员会制定,力在使国际上采用一致的数据安全措施。PCI SSC是由美国运通,Discover金融服务,JCB国际,万事达卡和VisaInc.于2006年组成的独立机构。该机构的成立旨在保护持卡人的数据,并规定了十二所有接受在线支付的供应商的主要要求。

一直以来,PCI 安全标准委员会出台各种安全政策。其中,在2017年6 月 30 号 PCI 安全标准委员会官方发表博文将于2018年6月30号,禁用早期 SSL/TLS,并实施更安全的加密协议(TLS 1.1 或更高版本,强烈建议使用 TLS 1.2)以满足 PCI 数据安全标准的要求,从而保护支付数据。所以,如果目前还有电商行业的商家仍在使用TLS 1.0协议的话,可能要面临每月高达10的美元罚款。

其实,早前TLS 1.0就已经被互联网行业认为是不安全的协议。TLS 1.0于1999年发行,至今将近有20年。对于目前的互联网技术,TLS 1.0的存在可以说就是一种安全隐患。因为TLS 1.0易受各种攻击(如BEAST和POODLE)已有多年,除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。因此,从去年开始,众多平台、安全企业纷纷放弃。

2017年的年中,微软强烈建议企业、及其客户或者合作伙伴禁用已经出现问题的老旧版本TLS 1.0及TLS 1.1。
2018年2月,GitHub停止支持弱加密标准,其中就包括弃用TLS 1.0及1.1协议。
2018年4月1日,DigiCert禁用TLS 1.0/1.1,只支持TLS 1.2和更高版本。”
2018年6月21日,Globalsign 将禁用 TL1.0 和 TLS1.1。
2018年6月30日,PCI 安全标准要求各大网站停止支持TLS1.0。

8月10日,互联网工程任务组(IETF)发布了最新版本的传输层安全TLS——TLS 1.3,相比之前所有的版本,TLS 1.3顺应了目前互联网的需求,在安全性和响应速度性能方面作了更进一步的提升。TLS 1.3的出现,将会加快淘汰TLS 1.0的速度。

对于仍在使用TLS1.0版本的网络运营商,为了保护网络数据安全,作为国内信息安全服务商数安时代GDCA建议尽快切换更加安全的TLS协议,关闭支持TLS1.0。数安时代GDCA旗下所有的SSL证书都是TLS 1.2以上版本的安全证书,旗下的SSL证书除了自主品牌GDCA SSL证书之外,同时也是国际知名品牌:GlobalSign、SymantecGeoTrust SSL证书国内金牌代理商,满足各种用户对SSL的各种要求,广大用户可根据自身的需求向数安时代GDCA申请合适的SSL证书,数安时代GDCA的专业团队将会为您提供最佳的HTTPS解决方案。

上一篇:

下一篇:

相关新闻