我正在尝试更深入地了解这个 Google Poodle 漏洞。我有一台服务器,我需要做的一件事就是禁用 SSL。这不是问题,因为仍然使用 SSL 的用户数量会很少(我相信是 Windows XP - IE6)。
因此,SSL 现在已被禁用,一切正常。
问题就在这里,要符合 PCI 规范,到 2016 年 6 月,您必须禁用 TLS 1.0 支持。我没想到这会是个问题,所以我继续在服务器上禁用它。现在我发现一些常见的配对,例如 IE8 上的 Windows XP 无法连接到我的网站。如果他们访问我的网页,他们会收到无法连接的错误信息。
这似乎不是什么大问题,因为您可能想知道谁在使用 XP 和 IE8。不管您信不信,这仍然是许多大型机构中非常常见的组合。一方面,我别无选择,只能遵守 PCI 规范,但另一方面,这样做会导致大约 5% 的访问者无法查看我的网站(5% 是一个很大的数字)。
那么,我有什么选择?禁用 TLS 1.0 后,有什么方法可以让不支持 TLS 1.1 及更高版本的用户查看我的网站吗?
谢谢
答案1
如果您的 PCI 合规性要求您放弃对 SSLv3 和 TLS 1.0 的支持,那么正如您所说,您必须这样做才能保持合规性。但是,由于我不是 PCI 专家,我认为 PCI 仅涵盖处理财务数据的系统。
为了避开这些要求,您可以采取的方法是拆分您的网站,这样,您网站中提供有关您公司的一般信息的部分可能是一个仅使用 HTTP 的网站,或使用 HTTPS 但可回退到 SSLv3。然后,真正敏感的 Web 应用程序可以仅使用 TLS 1.1+ 提供服务。您是否有关于有多少用户实际上从这些老旧的机器上使用您网站的安全部分,而不是仅仅浏览您的网站以获取一般信息的数据?
然后,您的 Web 应用程序就有机会检测到用户的浏览器与网站的安全部分不兼容,并敦促他们升级。
这确实意味着放弃对 Windows XP 的支持,但您并不是第一个这样做的人。微软已经停止支持它一年多了,而且这些新要求并不只对您有影响。您的客户仍在运行这些不受支持的旧平台,无论如何都将被迫升级。