Tenemos una parte importante de las ventas de usuarios que utilizan navegadores que aún no son compatibles con TLS 1.1+. También tenemos demandas de nuestros procesadores de pago para dejar de admitir TLS 1.0 para el cumplimiento de PCI.
Mi pregunta es esta:
Se considera compatible con PCI si su servidor aún es compatible con TLS 1.0, pero no permite que los usuarios lo utilicen para comprar y enviar información personal o de tarjetas de crédito.
El flujo sería así:
-
El usuario visita el sitio web e intenta comprar el producto
-
El servidor Apache buscaría SSL_PROTOCOL y se aseguraría de que el usuario no esté usando TLSv1
-
Si el usuario está utilizando TLSv1, le informaremos de manera amigable sobre la necesidad de actualizar su navegador para completar su compra, o nos llamará a nuestra oficina para ayudarlo a completar la compra.
-
Si un usuario está utilizando TLSv1.1 +, le permitiremos continuar con su negocio.
La idea aquí es que si eliminamos a los usuarios de TLS 1.0 que usan navegadores que solo son compatibles, obtendremos una página de error del navegador y no una página agradable que les informe del problema desde nuestro sitio web.
Mi pregunta se reduce a: ¿El cumplimiento de PCI requiere que el servidor en sí no sea compatible con TLS 1.0, o solo requiere que haya mitigado la capacidad de transmisión de datos personales a través de TLS 1.0?
Gracias por el consejo, SO'ers.