|
|
楼主 |
发表于 2021-8-26 16:43
|
显示全部楼层
为什么会发生这种情况?
随着我们不断变老,我们开始失去我们的力量。安全协议也不例外。原始的加密协议安全套接层(SSL)有一个最后的版本,这是在1999年发布的SSL 3.0。由于人们在SSL 版本中发现了漏洞,SSL不久就被TLS取代了。自那以后,已经发布了4个版本的TLS,最初的版本是在1999年发布的TLS 1.0。
SSL和TLS早期的版本一直就被发现容易受到Heartbleed、POODLE、BEAST、CRIME和Bleichenbacher等的攻击——这包括TLS 1.0。这样的一个机会窗口便使得黑客想要截获和篡改客户的敏感的信用卡数据——用技术术语来说,中间人攻击。
当然,这并不像我说的那么容易,但这确实是一种可能——尤其是当涉及到电子商务和在线支付时,因为涉及到明显且丰厚的回报。
需要做什么?
现在,你可能在想为什么我们不直接取缔这一协议。然而,事实上,尽管这听起来很美好,但并不实际。没有一个中心机构能够禁用整个网络上所有旧有的SSL/TLS版本;它必须由服务器管理员在服务器上完成。
许多网站仍旧运行在不支持最新的TLS版本的旧服务器上。比如,Windows Server 2008现在不支持TLS 1.1、1.2和1.3。这样的网站的管理员需要尽快行动,迁移到新服务器上。即使你已经迁移到了新服务器,或已经拥有一个,但你的任务还没有完成。你也需要禁用对SSL/早期TLS的支持。
应当禁用哪些SSL/TLS版本?
PCI SSC的文件中是这样谈到将要禁用的SSL/TLS版本的:
“POI终端设备可以持续使用SSL/早期TLS,只要能够证明POI不会受到当前已知攻击的影响。然而,SSL是一项过时的技术,未来可能会受到其他安全漏洞的威胁;因此,强烈建议POI环境使用TLS v1.1,或者在可能的情况下,使用更高的版本。对POI进行最新一步的部署时应当强烈考虑对TLS 1.2或更高版本的支持和使用。”
简单来说,你需要禁用TLS 1.0和所有SSL版本。此外,从安全角度考虑,还强烈建议禁用TLS 1.1。
难道TLS1.2/1.1不是作为默认使用吗?
大多数情况下,是的。
但正如你所知道的,一些人仍旧运行在与最新的TLS版本不兼容的操作系统上。如果你将旧有的TLS版本留在了服务器上,那么连接就将通过它们建立。这会违反PCI DSS的要求,因此你就可能会受到严厉的谴责。
因此,最终,责任在你我的网站管理员朋友。 |
评分
-
| 参与人数 1 | 威望 +30 |
金钱 +60 |
经验 +30 |
收起
理由
|
 加林森
| + 30 |
+ 60 |
+ 30 |
赞一个! |
查看全部评分
|
楼主: 安宁
显身卡
发表于 2021-8-25 18:08
发表于 2021-8-25 19:27
发表于 2021-8-26 20:50
