Соответствие SSL и TLS 1.0 PCI

Недавно мы получили несколько уведомлений от основных шлюзов, в которых говорилось, что «Совет PCI говорит, что вы должны полностью удалить поддержку SSL 3.0 и TLS 1.0. Вкратце: серверы и клиенты должны отключить SSL, а затем предпочтительно перевести все на TLS 1.2».

У меня вопрос: если мы полностью отключим 3.0 и TLS 1.0 на наших серверах и внесем необходимые изменения в наш код, смогут ли наши клиенты, которые используют старые браузеры, получить доступ к нашему веб-сайту? К сожалению, мы знаем, что по крайней мере 10% наших клиентов используют IE 8.

Меня смущает это изменение, и я хочу убедиться, что я понимаю, влияет ли оно на сторону клиентов (посетителей веб-сайта)

Спасибо за вашу помощь.


ssl .net tls1.2 pci-compliance
person user714142    schedule 08.02.2016    source источник

Ответы (2)


arrow_upward
0
arrow_downward

К сожалению, мы знаем, что не менее 10% наших клиентов используют IE 8.

IE 8, по крайней мере, в Windows XP не поддерживает TLS 1.1 или TLS 1.2. Если вы используете устаревшую платформу XP, вам нужно будет использовать Firefox или Chrome, если они все еще доступны для этой платформы.

person Steffen Ullrich    schedule 08.02.2016
comment
Спасибо, Штеффен, судя по вашему ответу, это изменение не только со стороны ИТ, но и со стороны клиента. знаете ли вы, как мы можем протестировать или воспроизвести сообщение об ошибке, которое увидят клиенты (с IE 8), если они попытаются перейти на наш веб-сайт после включения TLS 1.2? - person user714142; 08.02.2016
comment
@ user714142: Используйте XP с IE8 на тестовом сайте, который поддерживает только TLS 1.2.? Вы можете настроить такой сайт самостоятельно и, возможно, отредактировать файл hosts на машине Windows, чтобы он связал тестовый сайт с действительным именем хоста, содержащимся в имеющемся у вас сертификате. - person Steffen Ullrich; 08.02.2016
comment
См. help.salesforce.com/apex/, в нем есть информация + URL только на сайт tls 1.1+ - person Alex K.; 19.05.2016

arrow_upward
0
arrow_downward

Вам следует сделать приоритетным прохождение сканирования на соответствие PCI. На сервере под управлением Apache перейдите в свой httpd.conf файл, и вам понадобится эта строка в соответствующем разделе:

SSLProtocol -All +TLSv1.2

Официальную документацию можно найти на странице https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslprotocol.

person Jaime Montoya    schedule 07.06.2018