Recentemente abbiamo esaminato una terza parte dei nostri sistemi in cui i consulenti hanno segnalato di aver attivato TLSv1.0. Nel rapporto si riferiscono a questo documento NIST che consiglia (Pagina 28) :
If the server supports government-only applications, it shall not be configured to support TLS version 1.0. If the server supports citizen or business facing applications, it may be configured to support TLS version 1.0.
Non siamo il governo ma per ragioni di sicurezza ho deciso di eseguire l'analizzatore SSL online e controllare se ci sono problemi. Non ha mostrato nessuna bandiera rossa. La mia domanda è: abbiamo davvero bisogno di disabilitare TLS 1.0 del tutto.
Abbiamo a che fare con il portale di amministrazione di un'applicazione web che non contiene alcun tipo di funzionalità di pagamento, quindi PCI-DSS non è un requisito per noi.