根据 SSL 行业的最新消息,新的 PCI DSS 3.2版本将于今年春季发布, 。 最初, ,其预定发布日期为秋季。
PCI 安全标准委员会修订了发布日期,将 SSL 3.0/TLS 1.0 迁移的延长期纳入其中,原因是目前威胁不断扩大。
PCI DSS 3.2
当前版本的PCI DSS 3.1首次引入了严格的指导方针,以解决从 SSL 3.0 和 TLS 1.0 迁移的问题。 根据该协议,这两个协议 “在 2016 年 6 月 30 日之后不应再用作安全控制”。 这意味着,在规定日期之前,所有处理持卡人数据的网站所有者都应禁用这些协议版本,以符合新要求。 但是,PCI 安全标准委员会在 2015 年 12 月发布的 “关于从 SSL 和早期 TLS 迁移的公告“中更改了这一日期,将期限延长至 2018 年 6 月 30 日。 此次修订是 PCI DSS 成员广泛市场反馈的结果。 然而,理事会强烈表示不建议等到 2018 年。 新的截止日期将被纳入 PCI DSS 3.2,预计于 2016 年 3 月或 4 月发布。
提高网站安全性
根据该公报,2015 年 11 月,超过 67% 的受访网站安全性不足。 这意味着这些网站可能会受到 “POODLE“、”FREAK“、”BEAST“、”CRIME“或 “Heartbleed“等著名网络攻击,这些攻击利用了 90 年代发布的 SSL 3.0 和 TLS 1.0 协议的弱点。 通过这些网络攻击,黑客可以实施 “中间人攻击“,轻松解密持卡人的敏感数据,或窃取长期存在的加密密钥。 SSL 3.0 和 TLS 1.0 协议的漏洞无法修复。 因此,PCI DSS 规定必须迁移到最新版本的 TLS 协议:TLS 1.1 和 TLS 1.2 分别于 2006 年和 2008 年发布。
谷歌发现 POODLE 漏洞后,已经采取了多项保护措施,以提高网站的安全性。 首先,最流行浏览器的最新版本不再支持 SSL 3.0。 其次,建议所有网站管理员禁用服务器上的 SSL 3.0 和 TLS 1.0 选项。 禁用这些选项后,SSL 证书将只使用最新版本的 TLS 协议来保护连接。
即使 PCI DSS 3.2 的新要求只直接针对处理持卡人、支付、个人或管理记录的网站所有者,但迁移到 TLS 1.2 的建议应适用于所有网站管理员。 数据泄露的数量在不断增加,您不应冒着网络安全和企业声誉的风险使用过时的加密协议。 可用的 SSL 证书支持所有协议,因此不要犹豫,将网站升级到 TLS 1.2,以保护您的网站。
