私はこの Google Poodle の脆弱性をもう少し理解しようとしています。サーバーがあるので、SSL を無効にする必要があります。SSL をまだ使用しているユーザーの数は少ないので (Windows XP - IE6 だと思います)、これは問題ではありません。
これで SSL は無効になり、すべて正常になりました。
問題は、PCI 準拠になるためには、2016 年 6 月までに TLS 1.0 サポートを無効にする必要があることです。これは問題にならないだろうと思い、サーバー上で無効にしました。現在、一般的な組み合わせ (たとえば、Windows XP と IE8) では Web サイトに接続できないことがわかりました。Web ページにアクセスすると、接続できないというエラーが表示されます。
これは大したことではないように思えるかもしれません。なぜなら、XP や IE8 のようなものを誰が使っているのかと疑問に思うかもしれません。信じられないかもしれませんが、これは今でも多くの大規模施設で非常に一般的な組み合わせです。一方では、PCI に準拠する以外に選択肢はありませんが、他方では、これを行うと、訪問者の約 5% がサイトを表示できなくなります (5% というのは大きな数字です)。
では、どのような選択肢があるのでしょうか? TLS 1.0 が無効になっている場合、TLS 1.1 以上をサポートしていないユーザーがサイトを閲覧できるようにする方法はありますか?
ありがとう
答え1
PCI コンプライアンスで SSLv3 と TLS 1.0 のサポートを中止する必要がある場合、おっしゃるとおり、コンプライアンスを維持するためにそうする必要があります。ただし、PCI の専門家ではないので、PCI は金融データを処理するシステムのみを対象としていると思います。
これらの要件を回避するには、Web サイトを分割して、会社に関する一般的な情報を提供する Web サイトの部分を HTTP のみのサイト、または HTTPS にして SSLv3 にフォールバックするようにします。そうすると、実際に機密性の高い Web アプリケーションは TLS 1.1+ のみで提供できます。一般的な情報を得るために Web サイトを閲覧するのではなく、これらの古くてガタガタしたマシンから Web サイトの安全な部分を実際に使用しているユーザーの数に関する統計はありますか?
そうすることで、Web アプリケーションはユーザーのブラウザが Web サイトのセキュリティ保護された部分と互換性がないことを検出し、アップグレードを促すことができます。
これは Windows XP のサポートを中止することを意味しますが、これを行うのはあなただけではありません。Microsoft は 1 年以上も Windows XP をサポートしていませんし、これらの新しい要件による影響を受けるのはあなただけではありません。サポートされていない古いプラットフォームをまだ使用しているあなたの顧客は、何があろうとアップグレードを余儀なくされます。