我試圖更好地理解這個 Google Poodle 漏洞。所以我有一台伺服器,我需要做的一件事就是停用 SSL。這不是問題,因為仍然使用 SSL 的使用者數量將會很少(我相信是 Windows XP - IE6)。
所以,SSL 現在已停用,一切正常。
問題是,為了現在符合 PCI 標準,到 2016 年 6 月您必須停用 TLS 1.0 支援。沒想到這會成為問題,我繼續在伺服器上禁用它。現在我發現一些常見的配對(例如 IE8 上的 Windows XP)無法連接到我的網站。如果他們造訪我的網頁,則會顯示無法連線的錯誤。
這可能看起來沒什麼大不了的,因為您可能想知道誰使用 XP 和 IE8 這樣的東西。不管你相信與否,它仍然是許多大型機構中非常常見的組合。一方面,我別無選擇,只能遵守 PCI 規定,但另一方面,這樣做後,大約 5% 的訪客無法查看我的網站(5% 已經是一個很大的數字了)。
那麼,我有什麼選擇呢?停用 TLS 1.0 後,是否有辦法讓不支援 TLS 1.1 及更高版本的人查看我的網站?
謝謝
答案1
如果您的 PCI 合規性要求您放棄對 SSLv3 和 TLS 1.0 的支持,那麼,正如您所說,您必須這樣做才能保持合規性。然而,由於不是 PCI 專家,我認為 PCI 僅涵蓋處理財務資料的系統。
為了避開這些要求,您可以做的就是拆分您的網站,以便提供有關您公司的一般資訊的網站部分可能是僅 HTTP 網站,或 HTTPS 但有後備到 SSLv3。然後,實際敏感的 Web 應用程式只能使用 TLS 1.1+ 提供服務。您是否有統計數據表明有多少用戶實際上透過這些破舊的機器使用您網站的安全部分,而不是僅僅瀏覽您的網站以獲取一般資訊?
然後,您的 Web 應用程式將有機會檢測到使用者的瀏覽器與網站的安全部分不相容,並敦促他們升級。
這確實意味著放棄對 Windows XP 的支持,但您不會是第一個這樣做的人。 Microsoft 已經一年多沒有支援它了,而且您並不是唯一受到這些新要求影響的人。無論如何,仍在運行這些舊的不受支援平台的客戶將被迫升級。