不检查SSL证书对PCI遵从性的影响？

Question

PCI DSS声明：

"你必须...验证只有可信的SSL/TLS密钥/证书被接受。“

长话短说，我们的支付服务提供商刚刚要求我们停止验证他们的证书后，我们有一些SSL握手问题。这样做不对吗？

Answer 1

是的，这是错误的，这就是原因。如前所述，PCI要求通过安全通道处理包含敏感数据的通信。作为此过程的一部分，证书验证确保所讨论的证书处于良好状态，并且属于您打算与之交谈的一方。如果不验证证书，则通信量最好是未加密的，因为您不知道对方是谁。它可能是您的商家供应商，也可能是一个中间人谁正在读取和存储您发送给供应商之前发送的所有卡数据。如果没有验证证书，您就无法知道谁在查看数据，因此您对传输通道安全的信任级别必须为0%。

所以，正如我在评论中所说，不要接受这个条件。如果您的商家提供者不能，或者不会修复这些问题，以便您能够自信地验证他们的证书，那么请找到另一个商家提供者。事实上，在任何情况下，这都不是一个坏主意，因为如果他们愿意在这里快速、宽松地使用PCI和安全性，那么您就无法知道他们在系统中的其他位置--他们采取了类似的自由，将您和您的客户置于危险之中。

Answer 2

支付卡行业数据安全标准->是的，它是错误的！

您也许可以在Qually SSL实验室服务器测试中检查握手有什么问题：

https://www.ssllabs.com/ssltest/

如果它是任何服务，他们可以提供它没有SSL，并告诉你使用它，但在这里，它是疯狂的，甚至建议它。

他说了些什么。