SSL 和 TLS 1.0 PCI 合规性答案

【问题标题】：SSL and TLS 1.0 PCI ComplianceSSL 和 TLS 1.0 PCI 合规性
【发布时间】：2016-05-18 11:32:26
【问题描述】：

我们最近收到了几条来自主要网关的通知，指出 “PCI 委员会说你必须完全取消对 SSL 3.0 和 TLS 1.0 的支持。简而言之：服务器和客户端应该禁用 SSL，然后最好将所有内容都转换到 TLS 1.2。”

我的问题是，如果我们在服务器上完全禁用 3.0 和 TLS 1.0 并对我们的代码进行必要的调整，我们使用旧浏览器的客户是否仍然能够访问我们的网站？不幸的是，我们知道至少有 10% 的客户使用 IE 8。

我对这一变化感到困惑，并想确保我了解是否会对客户方（网站访问者）产生影响

感谢您的帮助。

【问题讨论】：

【解决方案1】：

您应该尝试将通过 PCI 合规性扫描作为优先事项。在运行 Apache 的服务器上，转到您的 httpd.conf 文件，您将在相应部分中需要此行：

SSLProtocol -All +TLSv1.2

【讨论】：

【解决方案2】：

不幸的是，我们知道至少 10% 的客户使用 IE 8。

至少在 Windows XP 上的 IE 8 不支持 TLS 1.1 或 TLS 1.2。如果您使用的是过时的 XP 平台，则需要使用 Firefox 或 Chrome，只要这些仍然可用于该平台。

【讨论】：

感谢 Steffen，根据您的回答，这不仅是 IT 方面的改变，而且在客户方面也是正确的。您知道我们如何测试或复制客户（使用 IE 8）在启用 TLS 1.2 后尝试访问我们的网站时会看到的错误消息吗？
@user714142：在只能执行 TLS 1.2 的测试站点上使用 XP 和 IE8。您可以自己设置这样的站点，也可以编辑 Windows 机器的主机文件，以便它将测试站点与您拥有的证书中包含的有效主机名相关联。
见help.salesforce.com/apex/… 它只有信息+ tls 1.1+ 站点的URL