PCI Data Security Standard 3.1 は、SSLとともに「初期TLS」を無効にすることをお勧めします。
SSLと初期TLSは強力な暗号化とは見なされず、2016年6月30日以降はセキュリティ制御として使用できません。
最善の対応は、SSLを完全に無効にして、最新の暗号化プロトコルに移行することです。公開時には、TLS v1.1以上ですが、エンティティにはTLS v1.2を検討することを強くお勧めします。
TLS 1.0の廃止についていくつか質問があります。
適切に構成されたTLS 1.0には、既知のセキュリティ上の脆弱性はありません。新しいプロトコルはより適切に設計されており、新しい脆弱性の可能性に対処しています。だから
個人的にTLS 1.0を無効にすることはお勧めしません。主な理由は、IE 7-10がそのままではTLS 1.1をサポートしていないためです。 2020年1月にIE10がEOLに移行したため、このような古いブラウザーからのトラフィックがほとんどまたはまったくないため、TLS 1.0を無効にすることをお勧めします。 https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers のサポートマトリックスを注意深く見ると、TLS 1.1がIE 11。
ほとんどの人はこれらのブラウザでかなりの量のトラフィックを抱えており、あなたのウェブサイトが突然機能しなくなるとビジネスに大きな影響を与えます。 ここの多くの人々は、「何よりもセキュリティ」というひたむきなアプローチを支持し、TLS 1.0を無効にすることを強く支持するようにあなたに告げるでしょう。セキュリティはビジネスニーズとバランスを取る必要があると私は信じています。セキュリティの専門家は、セキュリティの側面と変更の影響の両方を理解する必要があります。 2020年以降、ここでの一般原則は引き続き適用されますが、ほとんどの状況でTLS1.0を無効にする方向にトレードオフが進んでいます。 might TLS1.0を有効にしておくことを正当化できる、古い組み込みデバイスの特別な状況がまだあるかもしれません。
2020年には、少なくともクライアントとしてのブラウザにとって、TLS1.0を維持する理由はほとんどありません。明らかに、これが株式ブラウザ構成に及ぼす影響をテストし、この変更によってどれだけのビジネスが失われるか、または失われないかを理解する必要があります。
また、可能であればTLS 1.0を無効にし、Webサーバーが処理できる最新の暗号化および暗号化スイートをサポートすることをお勧めします。
TLS 1.0は、BEASTやPOODLEなどのよく知られているいくつかの攻撃に対して、多くの実装で脆弱です。 TLS 1.0には、暗号化の初期化ベクトル(IV)が一部の実装でも予測可能であるなど、いくつかの暗号化の問題もあります。これはTLS 1.2で置き換えられ、暗号ブロック連鎖(CBC)攻撃から保護します。
はい。ベストプラクティスとして、クレジットカードやその他の個人情報を処理していない場合でも、HTTPS経由で公開するすべてのサイトで最新の暗号化をサポートする必要があります。また、廃止された、非推奨である、および/またはそれらに対する既知の攻撃があると見なされる暗号化標準を無効にすることもできます。さらに、一部のブラウザーはTLS 1.0を使用している場合に警告を開始します(たとえば、Chromeとその「古い暗号化」の警告)。そのため、このベストプラクティスはブラウザーによって強く推奨されており、ユーザーが目立つように表示します。
TLS1.0を無効にすると、古いブラウザを使用している一部のユーザーに問題が発生する可能性があります。ただし、これらは大幅に古くなっている必要があります。つまり、ブラウザーによっては2013〜2014年以降は更新されません。この問題は、しばらくの間TLSを無効にしていたInternet Explorerで最も重大になる可能性があります。 完全な互換性チャートはウィキペディアで入手できます 。このマトリックスをHTTP_USER_AGENTヘッダーのログと比較すると、潜在的に問題があると予想される訪問者の数がわかります。