我們必須透過目前正在開發的 Web 應用程式的 PCI 3.1 審核。它位於在 Debian 下執行 NGINX 的 Amazon EC2 上。
我們正在與賽門鐵克聯繫以獲得證書,我們對帶有EV 一台和通配符一台的Secure Site Pro 特別感興趣(我們將擁有一台具有動態子域名的伺服器,這就是我們考慮通配符一台的原因) )
我只是想確保我不會花費數千美元並發現這些不足以支援 PCI 3.1,或者 NGINX 和 Debian 的組合無法用於這些類型的憑證。
是否有人有嘗試遵守 PCI-DSS 3.1 的經驗,可以就我們應該獲得哪些 SSL 憑證提供一些建議?
答案1
警告:我從來不需要通過 PCI 認證。這是基於我對這個主題的研究來回答你的問題。
看起來 PCI3.0 和 PCI3.1 之間的主要區別在於 3.1 要求TLS1.1或更高版本。無法使用 SSL3 或 TLS1.0。看http://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/儘管,在某些地方他們甚至提到不允許使用 TLS1.1。然而,如果只有 TLS1.2,您可能會切斷大量潛在的訪客,例如 4.4 以下的 Android 和 11 以下的所有 IE。
此外,似乎沒有明確要求 EV 證書。它們有利於網站識別以幫助阻止網路釣魚,但這並不是 PCI 的嚴格要求。
我也沒有看到任何禁止通配符證書的內容。
您可以獲得任何通配符證書,只要其信任鍊是訪客瀏覽器的一部分。它不一定是 EV 證書,也不一定來自 Symantec。
設定的一個重要部分是確保您的 Nginx 或其他 SSL 終止軟體/硬體使用正確的加密設定。 Mozilla 創建了一個漂亮的頁面,讓您可以選擇元件及其版本,並且它將為您產生「最佳實踐」配置。看https://mozilla.github.io/server-side-tls/ssl-config-generator/和https://wiki.mozilla.org/Security/Server_Side_TLS
答案2
長話短說:PCI-DSS 3.1立即生效,但停用 TLS 1.0 和 SSL 3 的要求將在 2016 年 6 月 30 日之後生效。
在大多數情況下,您應該在 3 個月或更長時間前就已經針對 POODLE 漏洞停用了 SSL。所以這不是一個問題。
此要求的有趣部分是無法使用 TLS 1.0。
官方的說法是:
SSL 和早期TLS 不被視為強加密,並且在2016 年6 月30 日之後不能用作安全控制。計劃。新實施不得使用 SSL 或早期 TLS,立即生效。經驗證不會受到任何已知 SSL 和早期 TLS 漏洞影響的 POS POI 終端(及其連接的 SSL/TLS 終止點)可以在 2016 年 6 月 30 日之後繼續使用這些終端作為安全控制。
--從 SSL 和早期 TLS 遷移, PCI-DSS 資訊補充
其中「早期 TLS」定義為 TLS 1.0。僅允許使用 TLS 1.1 和 1.2,強烈建議使用 1.2。
雖然您仍然可以對銷售點裝置及其後端使用 TLS 1.0 和 SSL 3,但前提是您可以證明您已經緩解了所有可能的問題,但您也應該強烈考慮更新這些裝置。
順便說一句,這是 Windows XP 棺材上的另一根釘子…