我们将不得不通过我们正在开发的Web应用程序的PCI 3.1审计。 这是在Debian上运行的NGINX的Amazon EC2。
我们正在与赛门铁克联系以获取证书,我们对使用EV one和Wildcard的Secure Site Pro特别感兴趣(我们将有一台具有dynamic子域名的服务器,这就是为什么我们要考虑通配符)
我只是想确保我不会花费数千美元,并且发现这些对于PCI 3.1来说是不够的,或者NGINX和Debian的组合不会为这些types的证书工作。
有没有人有尝试成为符合PCI-DSS 3.1的经验,可以提供一些build议,我们应该得到哪些SSL证书?
警告:我从来没有通过PCIauthentication。 这是基于我对你的问题的这个主题的研究。
看起来PCI3.0和PCI3.1之间的主要区别在于3.1需要TLS1.1或更高版本。 不能使用SSL3或TLS1.0。 见http://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/尽pipe在某些地方他们甚至提到TLS1.1是不允许的。 但是,只有TLS1.2,你可能会截断很大数量的访问者,比如4.4以下的Android,以及11以下的所有IE。如果这对你的业务是可以接受的,那就去做吧。
而且,EV证书似乎没有明确的要求。 它们对网站识别有利,有助于防止networking钓鱼,但对PCI不是一个严格的要求。
我也看不到任何会禁止通配符证书的东西。
只要其信任链是您访问者浏览器的一部分,您就可以获得任何通配证书。 它不必是一个EV证书,它不一定是从赛门铁克。
您的设置的一个重要部分是确保您的Nginx或其他SSL终止软件/硬件使用正确的encryption设置。 Mozilla创build了一个不错的页面,允许你select你的组件和他们的版本,它会为你生成“最佳实践”configuration。 请参阅https://mozilla.github.io/server-side-tls/ssl-config-generator/和https://wiki.mozilla.org/Security/Server_Side_TLS
TL; DR: PCI-DSS 3.1立即生效,但禁用TLS 1.0和SSL 3的要求于2016年6月30日后生效。
在大多数情况下,您应该已经在3个月前closures了SSL或POODLE漏洞。 所以这不是一个问题。
这个需求的有趣的部分是不能使用TLS 1.0。
官方的话是:
SSL和早期TLS不被视为强大的encryption技术,不能在2016年6月30日之后用作安全控制。在此之前,使用SSL和/或早期TLS的现有实施必须制定正式的风险缓解和迁移计划。 立即生效,新的实现不能使用SSL或早期的TLS。 可被validation为不受任何已知的针对SSL和早期TLS攻击的POS POIterminal(以及它们所连接的SSL / TLS终止点)可在2016年6月30日之后继续用作安全控制。
– 从SSL和早期TLS ,PCI-DSS信息补充迁移
“早期TLS”定义为TLS 1.0。 只允许使用TLS 1.1和1.2,强烈build议使用1.2。
虽然您仍然可以使用TLS 1.0和SSL 3作为销售点设备及其后端,但是您可以certificate您已经减轻了所有可能的问题,您应该强烈考虑更新这些设置。
顺便说一句,这是Windows XP的棺材中的又一个钉子…