我正试图理解这个Google Poodle漏洞稍微好一些。 所以我有一个服务器,我需要做的一件事是禁用SSL。 这不是一个问题,因为仍然使用SSL的用户数量会很低(我相信Windows XP – IE6)。
所以,SSL现在被禁用,一切正常。
现在是问题,到现在为PCI标准,到2016年6月,你必须禁用TLS 1.0支持。 不想这会是一个问题,我继续前进,并在服务器上禁用它。 现在我发现一些常见的配对,例如IE8上的Windows XP无法连接到我的网站。 如果他们访问我的网页,他们会显示一个错误,他们无法连接。
这可能不是什么大不了的,因为你可能想知道谁使用XP和IE8这样的东西。 不pipe你信不信,它在很多大的场所还是一个很常见的组合。 一方面,我别无select,只能做到PCI兼容,但另一方面,在这样做的时候,我的访问者大约有5%无法查看我的网站(而5%的数量相当多)。
那么,我有什么select? 有了TLS 1.0禁用,有没有办法让没有支持TLS 1.1和更高版本的用户查看我的网站?
谢谢
如果您的PCI合规性要求您放弃对SSLv3和TLS 1.0的支持,那么就像您所说的那样,您必须这样做才能保持合规性。 但是,如果不是PCI方面的专家,我认为PCI只涵盖处理财务数据的系统。
为了避免这些需求,你可以做的是分离你的网站,这样你的网站上提供你的公司一般信息的部分可能是一个纯HTTP站点,或者是HTTPS,到SSLv3。 实际上,敏感的Web应用程序可以仅用于TLS 1.1+。 你有没有统计有多less用户实际上使用这些旧机器的网站安全的一部分,而不是只是浏览您的网站的一般信息?
然后,您将有机会使您的Web应用程序检测到用户的浏览器与网站的安全部分不兼容,并敦促他们进行升级。
这确实意味着不再支持Windows XP,但是你不会是第一个这样做的人。 微软目前还没有支持它一年多,而且你并没有受到这些新要求的独特影响。 仍然运行这些较旧的不受支持平台的客户无论如何都将被迫升级。