對於電子商務行業來說,在線支付功能是網絡平臺最常見的板塊。但也是因為在線支付功能,令電子商務平臺成為了網絡黑客集中攻擊的對象。因此網絡安全在電子商務平臺擔任著舉足輕重的角色,為了保障網民的資金安全,互聯網出臺了一系列網絡支付安全標準。其中,由PCI安全標準委員會制定的安全標準最具有代表性。
PCI DSS,全稱Payment Card Industry Data Security Standard,第三方支付行業數據安全標準,是由PCI安全標準委員會制定,力在使國際上採用一致的數據安全措施。PCI SSC是由美國運通,Discover金融服務,JCB國際,萬事達卡和VisaInc.於2006年組成的獨立機構。該機構的成立旨在保護持卡人的數據,並規定了十二所有接受在線支付的供應商的主要要求。
一直以來,PCI 安全標準委員會出臺各種安全政策。其中,在2017年6 月 30 號 PCI 安全標準委員會官方發表博文將於2018年6月30號,禁用早期 SSL/TLS,並實施更安全的加密協議(TLS 1.1 或更高版本,強烈建議使用 TLS 1.2)以滿足 PCI 數據安全標準的要求,從而保護支付數據。所以,如果目前還有電商行業的商家仍在使用TLS 1.0協議的話,可能要面臨每月高達10的美元罰款。
其實,早前TLS 1.0就已經被互聯網行業認為是不安全的協議。TLS 1.0於1999年發行,至今將近有20年。對於目前的互聯網技術,TLS 1.0的存在可以說就是一種安全隱患。因為TLS 1.0易受各種攻擊(如BEAST和POODLE)已有多年,除此之外,支持較弱加密,對當今網絡連接的安全已失去應有的保護效力。因此,從去年開始,眾多平臺、安全企業紛紛放棄。
2017年的年中,微軟強烈建議企業、及其客戶或者合作伙伴禁用已經出現問題的老舊版本TLS 1.0及TLS 1.1。
2018年2月,GitHub停止支持弱加密標準,其中就包括棄用TLS 1.0及1.1協議。
2018年4月1日,DigiCert禁用TLS 1.0/1.1,只支持TLS 1.2和更高版本。”
2018年6月21日,GlobalSign 將禁用 TL1.0 和 TLS1.1。
2018年6月30日,PCI 安全標準要求各大網站停止支持TLS1.0。
8月10日,互聯網工程任務組(IETF)發佈了最新版本的傳輸層安全TLS——TLS 1.3,相比之前所有的版本,TLS 1.3順應了目前互聯網的需求,在安全性和響應速度性能方面作了更進一步的提升。TLS 1.3的出現,將會加快淘汰TLS 1.0的速度。
對於仍在使用TLS1.0版本的網絡運營商,為了保護網絡數據安全,作為國內信息安全服務商數安時代GDCA建議儘快切換更加安全的TLS協議,關閉支持TLS1.0。數安時代GDCA旗下所有的SSL證書都是TLS 1.2以上版本的安全證書,旗下的SSL證書除了自主品牌GDCA SSL證書之外,同時也是國際知名品牌:GlobalSign、Symantec、GeoTrust SSL證書國內金牌代理商,滿足各種用戶對SSL的各種要求,廣大用戶可根據自身的需求向數安時代GDCA申請合適的SSL證書,數安時代GDCA的專業團隊將會為您提供最佳的HTTPS解決方案。
文章轉載https://www.trustauth.cn/news/security-news/26215.html
閱讀更多 GDCA數安時代 的文章
