Recientemente pasamos por una revisión por parte de terceros de nuestros sistemas donde los consultores informaron que descubrimos que TLSv1.0 está habilitado. En el informe se refieren a este documento NIST que recomienda (Página 28) :
Si el servidor admite aplicaciones solo gubernamentales, no se configurará para admitir TLS versión 1.0. Si el servidor admite aplicaciones ciudadanas o comerciales, puede configurarse para que sea compatible con la versión 1.0 de TLS.
No somos el gobierno, pero por razones de seguridad, decidí ejecutar el Analizador de SSL en línea y comprobar si hay algún problema. No mostraba ninguna bandera roja. Mi pregunta es: ¿Realmente necesitamos deshabilitar TLS 1.0 por completo?
Estamos tratando con el portal de administración de una aplicación web que no contiene ningún tipo de funciones de pago, por lo que PCI-DSS no es un requisito para nosotros.