Devo disabilitare TLS 1.0 del tutto? [duplicare]

1

Recentemente abbiamo esaminato una terza parte dei nostri sistemi in cui i consulenti hanno segnalato di aver attivato TLSv1.0. Nel rapporto si riferiscono a questo documento NIST che consiglia (Pagina 28) :

If the server supports government-only applications, it shall not be configured to support TLS version 1.0. If the server supports citizen or business facing applications, it may be configured to support TLS version 1.0.

Non siamo il governo ma per ragioni di sicurezza ho deciso di eseguire l'analizzatore SSL online e controllare se ci sono problemi. Non ha mostrato nessuna bandiera rossa. La mia domanda è: abbiamo davvero bisogno di disabilitare TLS 1.0 del tutto.

Abbiamo a che fare con il portale di amministrazione di un'applicazione web che non contiene alcun tipo di funzionalità di pagamento, quindi PCI-DSS non è un requisito per noi.

    
posta Shurmajee 06.02.2018 - 19:15
fonte

1 risposta

2

Prima di disattivarlo, ottieni un controllo dei browser che si connettono al tuo sito. È necessario fare un riferimento incrociato con il supporto TLS 1.0. Questo ti darà un'idea della tua base di clienti che richiede questo come se non fossero in grado di supportare nulla su TLS 1.0 che li taglierai.

Per quanto riguarda il taglio, cosa fa la tua app? Quali sono le normative che il tuo settore segue?

    
risposta data 06.02.2018 - 19:46
fonte

Leggi altre domande sui tag