我们必须通过目前正在开发的 Web 应用程序的 PCI 3.1 审核。它运行在 Debian 下运行 NGINX 的 Amazon EC2 上。
我们正在与 Symantec 联系以获取证书,我们对带有 EV 证书和 Wildcard 证书的 Secure Site Pro 特别感兴趣(我们将拥有一台带有动态子域名的服务器,这就是我们考虑使用通配符证书的原因)
我只是想确保我不会花费数千美元并发现这些对于 PCI 3.1 来说是不够的,或者 NGINX 和 Debian 的组合不适用于这些类型的证书。
是否有人尝试过符合 PCI-DSS 3.1 标准,可以就我们应该获取哪种 SSL 证书提供一些建议吗?
答案1
警告:我从未通过过 PCI 认证。这是基于我对您的问题的研究。
PCI3.0 和 PCI3.1 之间的主要区别似乎在于 3.1 需要TLS1.1或更高版本。不能使用 SSL3 或 TLS1.0。请参阅http://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/尽管有些地方甚至提到不允许使用 TLS1.1。但是,如果只使用 TLS1.2,您可能会切断大量访问者,例如 Android 4.4 以下版本和所有 IE 11 以下版本。如果您的业务可以接受,那就去做吧。
此外,EV 证书似乎没有明确要求。它们有利于网站识别,有助于阻止网络钓鱼,但这并不是 PCI 的严格要求。
我也没有看到任何禁止通配符证书的内容。
您可以获取任何通配符证书,只要其信任链是访问者浏览器的一部分即可。它不必是 EV 证书,也不必来自 Symantec。
设置的一个重要部分是确保您的 Nginx 或其他 SSL 终止软件/硬件使用正确的加密设置。Mozilla 创建了一个不错的页面,允许您选择组件及其版本,它会为您生成“最佳实践”配置。请参阅https://mozilla.github.io/server-side-tls/ssl-config-generator/和https://wiki.mozilla.org/Security/Server_Side_TLS
答案2
总结:PCI-DSS 3.1立即生效,但禁用 TLS 1.0 和 SSL 3 的要求将于 2016 年 6 月 30 日之后生效。
在大多数情况下,您应该在 3 个月前甚至更早之前就已针对 POODLE 漏洞禁用 SSL。因此,这并非问题所在。
此要求的有趣部分是不能使用 TLS 1.0。
官方说法是:
SSL 和早期 TLS 不被视为强加密技术,在 2016 年 6 月 30 日之后不能用作安全控制。在此日期之前,使用 SSL 和/或早期 TLS 的现有实施必须制定正式的风险缓解和迁移计划。从即日起,新实施不得使用 SSL 或早期 TLS。POS POI 终端(以及它们连接的 SSL/TLS 终端点)如果可以验证为不易受到任何已知的 SSL 和早期 TLS 漏洞攻击,则可以在 2016 年 6 月 30 日之后继续使用这些作为安全控制。
--从 SSL 和早期 TLS 迁移、PCI-DSS 信息补充
其中“早期 TLS”定义为 TLS 1.0。仅允许使用 TLS 1.1 和 1.2,强烈建议使用 1.2。
虽然您仍然可以对销售点设备及其后端使用 TLS 1.0 和 SSL 3,但只要您能证明您已经缓解了所有可能的问题,您就应该强烈考虑更新它们。
顺便说一句,这又是 Windows XP 棺材上的一颗钉子……