Nir*_*lep 11 .net c# ssl pci-compliance tls1.2
根据PCI,我们需要根据http://blog.securitymetrics.com/2015/04/pci-3-1-ssl-and-从2016年6月30日起停止使用SSL和TLS(在某些实施中为1.0和1.1). tls.html
我们在.Net 3.5上构建了一个客户端应用程序,它使用HttpWebRequest对象连接到Web服务.
根据MSDN SecurityProtocolType(https://msdn.microsoft.com/en-us/library/system.net.securityprotocoltype ( v= vs.110).aspx)仅支持.Net Framework 4上的Ssl3和Tls(1.0)或下面.仅在.Net Framework 4.5/4.6中支持Tls11和Tls12
这是否意味着在Cardholder数据环境中并且完全符合pci标准,我们需要将所有应用程序升级到.Net 4.5/4.6并且只允许Tls12 SecurityProtocolType使用HttpWebRequest连接到外部Web服务?
当前使用 SSL/早期 TLS 或愿意在协商中接受它们并且属于持卡人数据环境作为安全控制一部分的任何通信通道都需要进行更改,以便仅使用 TLS 1.1(带有经批准的密码套件) ) 或以上。
您需要在.Net 4.5或更高版本下重新编译(默认情况下未启用TLS 1.2,因此需要更改代码)或使用支持所需协议的第三方库。
请注意,如果您知道您的系统正在使用 SSL/早期 TLS,则必须创建风险缓解计划/文档。