PCI SSC หน่วยงานผู้ออกมาตรฐานความปลอดภัย PCI DSS ประกาศเลื่อนการบังคับให้หน่วยงานที่ได้รับรองเลิกใช้ SSL ทุกรุ่น และ TLS 1.0 แล้วหันไปใช้ TLS 1.1 ไปอีกสองปี จากเดิมกำหนดเส้นตายไว้เดือนมิถุนายน 2016 เป็นเดือนมิถุนายน 2018
ทาง PCI SSC ระบุว่าได้รับเสียงแสดงความเห็นจากอุตสาหกรรม ระบุว่าระยะเวลาเปลี่ยนเทคโนโลยีน้อยเกินไปเพราะบริการบางรายเชื่อมต่อกับลูกค้านับพันราย และยังมีประเด็นการปรับเปลี่ยนใบรับรองให้เลิกใช้ใบรับรอง SHA-1 ภาระของผู้ให้บริการรับจ่ายเงินจึงมากอยู่แล้ว
ประกาศฉบับใหม่จะบังคับให้ หน่วยงานประมวลผลการจ่ายเงินทั้งสี่ประเภท ได้แก่ Acquirers, Processors, Gateways, และ Service Providers ต้องรองรับ TLS 1.1 ขึ้นไปภายในเดือนมิถุนายน 2016 เช่นเดิม แต่ให้เวลาปรับเปลี่ยนคอนฟิกการเชื่อมต่อไปถึงปี 2018 พร้อมกับยกเว้นจุดรับจ่าย (POI) ที่ตรวจสอบแล้วว่าไม่เสี่ยงต่อการถูกเจาะ SSL ก็สามารถใช้งานต่อไปได้โดยไม่มีกำหนด
ที่มา - PCI SSC
Comments
แล้วกัน ?