根据支付卡行业数据安全标准(PCIDSS)的要求,2018年6月30日是所有合规企业放弃使用SSL/TLS 1.0的最后期限,此举主要是为了解决安全套接字层(SSL)和传输层安全(TLS)加密协议内的高风险漏洞,应对最新的客户支付信息面临的威胁。
虽然早在三年前PCI安全标准委员会(SSC: Security Standards Council)就要求,到2016年6月,SSL/早期版本TLS必须终止使用,但对于销售终端(POS)系统和交互点(POI)终端(由SSC定义为磁卡读卡器或芯片读卡器,例如NFC接触点),PCI 也提供了“宽限期”:如果使用SSL和早期版本TLS的设备“被验证为不容易受到所有SSL/早期版本TLS已知漏洞的影响”,或者已知的漏洞更难用于攻击POS系统,那么,商家可以在2016年6月30日之后继续使用这些设备。到今年5月,支付卡行业数据安全标准(PCI DSS)再次升级为PCI DSS v3.2.1,禁用SSL/TLS 1.0或将强制执行。
为了符合支付卡行业数据安全标准(PCI DSS)并符合行业最佳实践,国内外第三方支付的众多企业开始提前规划,纷纷禁用 TLS 1.0甚至TLS 1.1(以及SSLv2和SSLv3),最新的浏览器版本将开始支持TLS 1.2或更高版本。
蓝汛高度关注互联网服务的安全,快速捕捉到行业客户的安全需求,与客户密切配合,当即制定了布署方案,开发了定制化的安全增强功能以适应客户个性化的安全需求:
l 在HPCC平台开发并支持了禁止TLS 1.0的功能;
l 关闭了客户在portal上的TLS 1.0的支持,达到更高的安全要求;
l 增加提示与跳转,为客户实现平滑过渡。
蓝汛客户服务系统https://portal.chinacache.com,也将随之关闭对TLS 1.0客户浏览器的访问,蓝汛将于6月28日全部完成布署、修复配置,判断客户访问使用的是TLS 1.0协议时,将跳转至提示页面。
在SSL/TLS 1.0的最后期限,蓝汛技术团队快速高效地对公司服务网站进行了重新布署和升级,以客户安全需求及应用需求为出发点,及时提供全方位、无缝过渡的技术支持,再次彰显了蓝汛对海内外客户需求快速响应、灵活、安全、系统化的专业服务实力。
