¿Debo desactivar TLS 1.0 por completo? [duplicar]

1

Recientemente pasamos por una revisión por parte de terceros de nuestros sistemas donde los consultores informaron que descubrimos que TLSv1.0 está habilitado. En el informe se refieren a este documento NIST que recomienda (Página 28) :

  

Si el servidor admite aplicaciones solo gubernamentales, no se configurará para admitir TLS versión 1.0.   Si el servidor admite aplicaciones ciudadanas o comerciales, puede configurarse para que sea compatible con la versión 1.0 de TLS.

No somos el gobierno, pero por razones de seguridad, decidí ejecutar el Analizador de SSL en línea y comprobar si hay algún problema. No mostraba ninguna bandera roja. Mi pregunta es: ¿Realmente necesitamos deshabilitar TLS 1.0 por completo?

Estamos tratando con el portal de administración de una aplicación web que no contiene ningún tipo de funciones de pago, por lo que PCI-DSS no es un requisito para nosotros.

    
pregunta Shurmajee 06.02.2018 - 19:15
fuente

1 respuesta

2

Antes de deshabilitar esto, obtenga una auditoría de los navegadores que se conectan a su sitio. Necesita hacer una referencia cruzada con el soporte de TLS 1.0. Esto le dará una idea de su base de clientes que requiere esto, ya que si no pueden admitir nada sobre TLS 1.0, los eliminará.

En cuanto a si necesitas cortarlo, ¿qué hace tu aplicación? ¿Qué regulaciones cumple su industria?

    
respondido por el McMatty 06.02.2018 - 19:46
fuente

Lea otras preguntas en las etiquetas