나는 이 Google Poodle 취약점을 좀 더 잘 이해하려고 노력하고 있습니다. 따라서 서버가 있으므로 SSL을 비활성화해야 합니다. 여전히 SSL을 사용하는 사용자 수가 낮기 때문에 이는 문제가 되지 않습니다(Windows XP - IE6이라고 생각합니다).
이제 SSL이 비활성화되었으므로 모든 것이 정상입니다.
여기에 문제가 있습니다. 이제 PCI 규격을 준수하려면 2016년 6월까지 TLS 1.0 지원을 비활성화해야 합니다. 이것이 문제가 될 것이라고 생각하지 않고 계속해서 서버에서 비활성화했습니다. 이제 IE8의 Windows XP와 같은 일부 일반적인 페어링이 내 웹 사이트에 연결할 수 없다는 것을 발견했습니다. 내 웹페이지를 방문하면 연결할 수 없다는 오류가 표시됩니다.
XP나 IE8 등을 사용하는 사람이 누구인지 궁금하기 때문에 이것은 큰 문제가 아닌 것처럼 보일 수도 있습니다. 믿거나 말거나, 이는 여전히 많은 대형 시설에서 매우 흔한 조합입니다. 한편으로는 PCI를 준수할 수밖에 없지만, 다른 한편으로는 이렇게 하면 내 방문자 중 약 5%가 내 사이트를 볼 수 없습니다(그리고 5%는 많은 수에 해당합니다).
그렇다면 나에게는 어떤 선택권이 있습니까? TLS 1.0이 비활성화된 경우 TLS 1.1 이상을 지원하지 않는 사람들이 내 사이트를 볼 수 있도록 할 수 있는 방법이 있습니까?
감사해요
답변1
PCI 규정에 따라 SSLv3 및 TLS 1.0에 대한 지원을 중단해야 하는 경우 규정을 유지하려면 그렇게 해야 합니다. 하지만 PCI 전문가가 아닌 이상 PCI가 금융 데이터를 처리하는 시스템만 다루고 있다고 생각합니다.
이러한 요구 사항을 회피하기 위해 할 수 있는 일은 웹 사이트를 분할하여 회사에 대한 일반 정보를 제공하는 웹 사이트 부분이 HTTP 전용 사이트 또는 대체 기능이 있는 HTTPS일 수 있도록 하는 것입니다. SSLv3으로. 실제로 민감한 웹 애플리케이션은 TLS 1.1+에서만 제공될 수 있습니다. 일반 정보를 얻기 위해 웹사이트를 탐색하는 것과는 반대로, 낡고 삐걱거리는 기계에서 웹사이트의 보안 부분을 실제로 사용하는 사용자 수에 대한 통계가 있습니까?
그런 다음 웹 애플리케이션에서 사용자의 브라우저가 웹 사이트의 보안 부분과 호환되지 않음을 감지하고 업그레이드하도록 촉구할 수 있습니다.
이는 Windows XP에 대한 지원 중단을 의미하지만 이를 처음으로 수행하는 사람은 거의 없습니다. Microsoft는 1년 넘게 이를 지원하지 않았으며 이러한 새로운 요구 사항으로 인해 특별히 영향을 받지는 않습니다. 지원되지 않는 이전 플랫폼을 여전히 실행 중인 고객은 무슨 일이 있어도 업그레이드해야 합니다.