2018年6月30日，TLS 1.0及1.1將正式被TLS 1.2取代，所有違反支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCI SSC）這一規(guī)定的公司都可能會(huì)高額罰款。

你有電子商務(wù)網(wǎng)站嗎？你接受在線支付嗎？你擔(dān)心會(huì)受到處罰嗎？如果所有這三個(gè)問(wèn)題的答案都是‘是的’，那么你應(yīng)當(dāng)立即禁用TLS 1.0。思考這個(gè)問(wèn)題的時(shí)間已經(jīng)過(guò)去了。你只有幾天的時(shí)間了。

支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCI SSC）是一個(gè)獨(dú)立機(jī)構(gòu)，由美國(guó)運(yùn)通、Discover金融服務(wù)、JCB國(guó)際、萬(wàn)事達(dá)卡和Visa有限公司在2006年創(chuàng)建。這些公司創(chuàng)建該機(jī)構(gòu)的目的是保護(hù)信用卡持卡人的數(shù)據(jù)信息，此外，它向所有接受在線支付的供應(yīng)商指定了12項(xiàng)主要要求。盡管這些要求并不屬于任何法律，但這些信用卡公司讓接受信用卡支付的商人遵守這些要求變成了一項(xiàng)強(qiáng)制性行為。如果一個(gè)商人不能滿足要求，那么他們每個(gè)月就可能面臨高達(dá)10萬(wàn)美元的罰款。

在2015年4月發(fā)布的PCI DSS v3.1有一個(gè)2016年5月的最后期限，以便將SSL和早期的TLS遷移到更新的版本。在這里，“從SSL和早期的TLS遷移”意味著禁用對(duì)舊有SSL & TLS版本的支持。最終，這一截止日期被延遲了兩年，2018年6月30日是新的截止日期。

在2016年4月發(fā)布的PCI DSS v3.2也包括在這一截止日期中。

為什么會(huì)發(fā)生這種情況？

隨著我們不斷變老，我們開始失去我們的力量。安全協(xié)議也不例外。原始的加密協(xié)議安全套接層（SSL）有一個(gè)最后的版本，這是在1999年發(fā)布的SSL 3.0。由于人們?cè)赟SL 版本中發(fā)現(xiàn)了漏洞，SSL不久就被TLS取代了。自那以后，已經(jīng)發(fā)布了4個(gè)版本的TLS，最初的版本是在1999年發(fā)布的TLS 1.0。

SSL和TLS早期的版本一直就被發(fā)現(xiàn)容易受到Heartbleed、POODLE、BEAST、CRIME和Bleichenbacher等的攻擊——這包括TLS 1.0。這樣的一個(gè)機(jī)會(huì)窗口便使得黑客想要截獲和篡改客戶的敏感的信用卡數(shù)據(jù)——用技術(shù)術(shù)語(yǔ)來(lái)說(shuō)，中間人攻擊。

當(dāng)然，這并不像我說(shuō)的那么容易，但這確實(shí)是一種可能——尤其是當(dāng)涉及到電子商務(wù)和在線支付時(shí)，因?yàn)樯婕暗矫黠@且豐厚的回報(bào)。

需要做什么？

現(xiàn)在，你可能在想為什么我們不直接取締這一協(xié)議。然而，事實(shí)上，盡管這聽起來(lái)很美好，但并不實(shí)際。沒(méi)有一個(gè)中心機(jī)構(gòu)能夠禁用整個(gè)網(wǎng)絡(luò)上所有舊有的SSL/TLS版本；它必須由服務(wù)器管理員在服務(wù)器上完成。

許多網(wǎng)站仍舊運(yùn)行在不支持最新的TLS版本的舊服務(wù)器上。比如，Windows Server 2008現(xiàn)在不支持TLS 1.1、1.2和1.3。這樣的網(wǎng)站的管理員需要盡快行動(dòng)，遷移到新服務(wù)器上。即使你已經(jīng)遷移到了新服務(wù)器，或已經(jīng)擁有一個(gè)，但你的任務(wù)還沒(méi)有完成。你也需要禁用對(duì)SSL/早期TLS的支持。

應(yīng)當(dāng)禁用哪些SSL/TLS版本？

PCI SSC的文件中是這樣談到將要禁用的SSL/TLS版本的：

“POI終端設(shè)備可以持續(xù)使用SSL/早期TLS，只要能夠證明POI不會(huì)受到當(dāng)前已知攻擊的影響。然而，SSL是一項(xiàng)過(guò)時(shí)的技術(shù)，未來(lái)可能會(huì)受到其他安全漏洞的威脅；因此，強(qiáng)烈建議POI環(huán)境使用TLS v1.1，或者在可能的情況下，使用更高的版本。對(duì)POI進(jìn)行最新一步的部署時(shí)應(yīng)當(dāng)強(qiáng)烈考慮對(duì)TLS 1.2或更高版本的支持和使用?！?/p>

簡(jiǎn)單來(lái)說(shuō)，你需要禁用TLS 1.0和所有SSL版本。此外，從安全角度考慮，還強(qiáng)烈建議禁用TLS 1.1。

難道TLS1.2/1.1不是作為默認(rèn)使用嗎？

大多數(shù)情況下，是的。

但正如你所知道的，一些人仍舊運(yùn)行在與最新的TLS版本不兼容的操作系統(tǒng)上。如果你將舊有的TLS版本留在了服務(wù)器上，那么連接就將通過(guò)它們建立。這會(huì)違反PCI DSS的要求，因此你就可能會(huì)受到嚴(yán)厲的譴責(zé)。

因此，最終，責(zé)任在你我的網(wǎng)站管理員朋友。那么，趕快拿出你的日歷，標(biāo)出日期吧——2018年6月30日。