很难找到有关 Azure 应用服务(Web 应用)和 PCI 合规性的明确答案。 PCI 标准 3.1 要求禁用 TLS 1.0 以及 block 大小为 64 位的 block 密码算法,例如 DES 和 3DES。显然,Azure Web Apps 符合 PCI 标准 3.0,但不符合 3.1。对于何时满足更新的标准 (3.1),Microsoft 有任何官方立场吗?对于 Web Apps 服务?有人建议我可以使用应用程序服务环境,以便能够禁用 TLS 1.0 和过时的密码,但这(当然)是一项高级服务,并且需要花费更多钱。由于上述问题,我们在 Azure 中托管的一些客户端站点未能通过 PCI 合规性扫描。我是将客户端站点移至应用服务环境的唯一解决方案吗?
最佳答案
从 2018 年 4 月 30 日开始,您将能够管理您的应用服务将接受哪些 TLS 版本。
我找不到链接来源,但我确实收到了一封电子邮件,其中包含以下内容:
By April 30, 2018:
Through the Azure portal and Azure Resource Manager templates, you’ll be able to select the minimum-required TLS version (1.1 or 1.2) for your app.
We’ll configure App Service apps to require only newer TLS versions (1.1 and 1.2)—two months before the required date.
After June 30, 2018:
- All newly created App Service apps will be automatically configured to require TLS 1.2. You’ll still retain the option to configure earlier TLS versions for your apps, if necessary, for compatibility with older browser clients.
关于您关于从密码套件中删除 DES 和 3DES 的问题,该问题原定于 2017 年 3 月 ( https://appsvcssl.trafficmanager.net/ ) 进行,我的测试显示它已被删除(至少从在美国东部创建的新 Web 应用程序中删除) )。
关于Azure 应用服务(Web 应用)PCI 合规性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44392988/