Sto cercando alcuni chiarimenti sugli effetti di PCI DSS v3.1.
In un contesto di e-commerce del consumatore (ad es. amazon.com), presumo che i clienti che tentano di effettuare acquisti di carte di credito sul sito, utilizzando Windows XP, non sarebbero più supportati, a causa della rimozione di TLS 1.0 come versione del protocollo accettabile. È corretto?
Gli utenti di Windows XP con IE non saranno in grado di acquistare da fornitori conformi PCI su Internet dopo la proibizione di TLS 1.0 di DSS v3.1 entro giugno 2016. (La maggior parte dei commercianti girerà off TLS v1.0 da qualche parte prima che deve essere conforme senza un rush dell'ultimo minuto).
Naturalmente, se desiderano utilizzare Chrome, Firefox, Opera o qualsiasi altro browser moderno con Windows XP, continueranno a essere in grado di effettuare acquisti. Ecco una tabella eccellente dei protocolli supportati da OS / Client per Qualys .
È la combinazione di un browser non supportato su un SO non supportato che sta uccidendo la combo XP + IE.
Possono utilizzare Windows XP purché utilizzino un browser che non utilizza lo stack SSL / TLS di Windows.
Chrome e Firefox utilizzano i propri stack SSL / TLS in modo che continuino a funzionare. Internet Explorer utilizza lo stack TLS dei sistemi operativi in modo che non funzioni. Non ho esaminato altri browser o applicazioni client non browser, ma mi aspetterei che almeno alcuni di loro abbiano problemi.
Potrebbe essere un'idea iniziare a fare un po 'di user-agent sniffing per rilevare gli utenti di IE / XP e spingerli verso firefox / chrome (idealmente li faresti aggiornare il loro sistema operativo ma potrebbe essere un ponte troppo lontano per molti di loro )