Abbiamo ancora una parte significativa delle vendite provenienti dagli utenti che utilizzano browser che non supportano ancora TLS 1.1+. Abbiamo anche richieste dai nostri processori di pagamento di smettere di supportare TLS 1.0 per la conformità PCI.
La mia domanda è questa:
È considerato compatibile con PCI se il tuo server supporta ancora TLS 1.0 ma non consente agli utenti che lo utilizzano di acquistare e inviare dati personali o della carta di credito.
Il flusso dovrebbe essere come questo:
-
L'utente visita il sito Web e prova ad acquistare il prodotto
-
Il server Apache esaminerebbe SSL_PROTOCOL e verificherà che l'utente non stia utilizzando TLSv1
-
Se l'utente utilizza TLSv1, informeremmo l'utente in modo amichevole che è necessario aggiornare il browser per completare l'acquisto o chiamarci presso il nostro ufficio per aiutarli a completare l'acquisto.
-
Se un utente utilizza TLSv1.1 +, lasceremo che si occupino della sua attività.
L'idea è che se rimuoviamo gli utenti di TLS 1.0 usando browser che supportano solo quelli otterranno una pagina di errore del browser e non una bella pagina che li informi del problema dal nostro sito web.
La mia domanda si riduce a: La conformità PCI richiede che il server stesso non supporti TLS 1.0, o richiede solo che tu abbia mitigato la possibilità di trasmettere dati personali tramite TLS 1.0
Grazie per il consiglio, SO.