PCI合规截止日期：你必须在6月30日之前禁用TLS

你有电子商务网站吗？你接受在线支付吗？你担心会受到处罚吗？如果所有三个问题的答案都是'是'，那么您应该立即禁用TLS 1.0。思考它的时间已经过去了。你只有几天！

      支付卡行业安全标准委员会（PCI SSC）是由美国运通，Discover金融服务，JCB国际，万事达卡和Visa Inc.于2006年组成的独立机构。该机构的成立旨在保护持卡人的数据，并规定了十二所有接受在线支付的供应商的主要要求。虽然这些要求不是任何法律的一部分，但他们的支付卡公司已经强制接受信用卡支付的商家。如果商家不符合规定，他们可能面临每月高达10万美元的罚款。

      2015年4月发布的PCI DSS v3.1将2016年6月的最后期限从SSL和早期TLS迁移到更新，更安全的版本。这里，“从SSL和早期TLS迁移”意味着禁用对旧版SSL和TLS版本的支持。最终，截止日期延长了两年，并于2018年6月30日成为新的最后期限。

2016年4月发布的PCI DSS v3.2也包括此截止日期。

        安全套接字层（SSL），原始密码协议在1999年发布了其最新版本（SSL 3.0）。由于SSL版本中存在漏洞，SSL很快被TLS取代。 自那以后，包括TLS 1.0在内已发布了四个版本。

       早期版本的SSL和TLS已经被发现容易受到诸如Heartbleed，POODLE，BEAST，CRIME和Bleichenbacher等漏洞的影响 - 这包括TLS 1.0。这样的机会之窗吸引了黑客拦截并篡改客户的敏感信用卡数据 - 以技术术语来说是一种中间人攻击。

当然，搞一套中间人攻击不是什么容易的事，但它发生的可能性对涉及在线支付的电商类网站却是致命的。

      你或许会问，为什么我们不直接把那些带漏洞的协议给禁了呢？ 因为没有任何一个机构可以禁用整个互联网的旧SSL/TLS版本，它必须由服务器管理员在服务器上完成。

      许多网站仍旧在不支持最新TLS版本的旧服务器上运行。 例如，Windows Server 2008不支持TLS 1.1,1.2和1.3。 这些网站的管理员需要尽快行动并迁移到较新的服务器。 即使您已经迁移到较新的服务器或者已经拥有一台服务器，您仍然没有完成。 您还需要禁用对SSL /早期TLS的支持。

哪些SSL / TLS版本应该被禁用？

这是来自PCI SSC的文件所说的关于SSL / TLS版本被禁用的内容：

POI可以继续使用SSL /早期TLS，但仅在它可以显示POI不容易受到当前已知的漏洞攻击时。 但是，SSL是一种过时的技术，将来可能会面临额外的安全漏洞; 因此强烈建议POI环境尽可能使用TLS v1.1或更高版本。 POI的新实现应该强烈考虑支持和使用TLS 1.2或更高版本。 如果环境中不需要SSL /早期TLS，则应禁用对这些版本的使用和降级。

TLS 1.2 / 1.1不是已经被用作默认了吗？

大多数情况下，是这样没错。

       但就像某些高校还用着被微软弃疗的Win XP一样，新版本的TLS根本就无法在这些旧系统上兼容。 如果您在服务器上打开了较旧的TLS版本，则会建立连接。 这将违反PCI DSS的要求，您可能会受到严厉处罚。

网站管理员需要抓紧时间了！