SSL и устаревшие TLS (1.0 и 1.1) для клиентского приложения веб-службы на .Net 3.5

В соответствии с PCI, мы должны прекратить использование SSL и TLS (1.0 и 1.1 в определенной реализации) с 30 июня 2016 года согласно http://blog.securitymetrics.com/2015/04/pci-3-1-ssl-and-tls.html

У нас есть клиентское приложение, построенное на .Net 3.5, которое использует объект HttpWebRequest для подключения к веб-службам.

В соответствии с MSDN SecurityProtocolType (https://msdn.microsoft.com/en-us/library/system.net.securityprotocoltype(v=vs.110).aspx) поддерживает только Ssl3 и Tls (1.0) на .Net Framework 4 или ниже. Tls11 и Tls12 поддерживаются только в .Net Framework 4.5/4.6

Означает ли это, что внутри среды данных Cardholder и полностью совместимо с pci, нам нужно обновить все приложения до .Net 4.5/4.6 и разрешить только Tls12 SecurityProtocolType для подключения к внешним веб-сервисам с использованием HttpWebRequest?

ОТВЕТЫ

Ответ 1

Любой канал связи, который в настоящее время использует SSL/ранний TLS или который готов принять их при согласовании, и который является частью среды данных держателя карты, поскольку контроль безопасности необходимо изменить таким образом, чтобы он использовал только TLS 1.1 (с утвержденный набор шифров) или выше.

Вам необходимо перекомпилировать в .Net 4.5 или выше (TLS 1.2 не включен по умолчанию, поэтому необходимы изменения кода) или используйте стороннюю библиотеку, которая поддерживает требуемые протоколы.

Обратите внимание, что если вы знаете, что ваша система использует SSL/ранний TLS, вы должны создать план/документ по снижению рисков.

ИНФОРМАЦИОННОЕ ДОПОЛНЕНИЕ Миграция с SSL и раннего TLS

Ответ 2

Собственно, вы можете использовать TLS 1.2 в Frameworks ниже 4.5 (по крайней мере, мне это удалось в клиенте .NET Framework 4). Вместо использования классической команды, чтобы установить протокол как Tls12, вы можете обойти его, используя идентификатор для этого протокола.

  ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072;

Ответ 3

Microsoft сделала немыслимые и опубликованные исправления для этого

  • KB3154518 - Надежность накопителя HR-1605 - NDP 2.0 SP2 - Win7 SP1/Win 2008 R2 SP1
  • KB3154519 - Надежность накопителя HR-1605 - NDP 2.0 SP2 - RTM RTM/Win 2012 RTM
  • KB3154520 - Надежность накопителя HR-1605 - NDP 2.0 SP2 - RTM Win8.1RTM/Win 2012 R2 RTM
  • KB3156421 - 1605 Слияние HotFix с помощью Центра обновления Windows для Windows 10.