PayPal於2016年6月进行TLS1.2升级之基础.PDFVIP

PayPal 於 2016 年 6 月進行 TLS 1.2 升級之基礎 技術白皮書 內容 摘要 1 2016 升級的理念 1 商家資源 3 總結 3 摘要 作為金融科技的市場領導者，PayPal 致力提供簡單易用、價格相 宜、安全可靠的金融服務與數碼付款服務。為達成此目標，我們 持續權衡不同組織和協會所提供的資訊，以及各種行業標準，用 以評估我們的安全性，最終為商家和客戶營造值得信賴的環境。 儘管支付卡行業協會 (PCI Council) 近期建議延遲至 2018 年才推行規章，要求 業界最少升級至 TLS 1.1，升級至 TLS 1.2 尤佳，但 PayPal 選擇沿用原定的時 間表，於 2016 年進行升級。PayPal 將於 2016 年 6 月 17 日開始陸續停止支援 TLS 1.0 及 1.1。即是說，所有商家向 PayPal 發送的 API 通訊要求均須採用 TL S 1.2。 我們特地撰寫了這份技術白皮書，當中除了解釋此決定背後的理念，亦為商家帶來 有關升級支援的 PayPal 資源。 2016 升級的理念 SHA-256 證書升級會按原定計劃於 2016 年進行。 2014 年，各主要瀏覽器及核證機構社群宣佈自 2016 年 1 月 1 日起不再發出 SHA-1 證書，而所有新發出的證書均為 版權所有 © 2016 PayPal, Inc.。保留所有權利。 摘要 | 1 SHA-256。所有現有 SHA-1 證書將於 2017 年 1 月 1 日起被視為「不受信任」， 而相關警告訊息亦將顯示。 於 2009 年前進行整合的商家必須升級其操作系統及 / 或 SSL 堆疊與鑰匙庫，方 可支援新的 SHA-256 證書。升級為 TLS 1.2 及 G5 根源證書可確保商家能夠支援 SHA-256，而 TLS 1.0 及 1.1 部署則不然，商家或需額外的資金和升級操作。 升級為 SHA-256 證書後，商家所使用的絕大部分證書均已支援 TLS 1.2，因此可 在毫不費力的情況下啟用 TLS 1.2。同時執行支援 SHA-256 證書及 TLS 1.2 的升 級操作，是完成兩者的最具效率、最安全的方法。 SSL 及 TLS 安全威脅及風險緩減措施，正在不斷蛻變。 隨著新的安全威脅不斷崛起，SSL 及 TLS 協議亦已逐步改進。自 2011 年起，SS L 3.0 以及 TLS 1.0 和 1.1 遭到三種主要攻擊 及數項否決，導致公司蒙受數以 百萬元計的的損失。TLS 較舊版本被攻破的風險十分顯著，因此 PayPal 打算採納 最安全可行的方法來消除這方面的影響。只啟用 TLS 1.2 的話，就能夠將較舊版 本中可影響 PayPal 或商家的漏洞風險消除。現時，TLS 1.2 為我們的通訊渠道提 供了最佳的安全保障功能。 避免在未經籌備的情況下進行緊急升級，對商家、消費者及 PayPal 均有好 處。 2014 年 10 月出現的 POODLE 攻擊，促使 PCI 採取行動。這前所未見的行動將 S SL 3.0 應用的風險評級提升為「極高風險」，同時要求於短短兩個月內升級為 TL S 1.0，時間極為倉促。業界對 TLS 1.0 及 1.1 的多個方面作出了評估（例如 SH A-1 的漏洞風險急劇增加）後，憂慮日後若出現對這些版本的攻擊，將會引發另一 次時間倉促的升級規定。只要商家遵循 PayPal 的時間表於 6 月前行事，就不必 應對如此突然的規定。 TLS 1.2 升級應已包括在 2016 商家規劃之中。 最初 PCI 協會公佈會於 2015 年 4 月推行 2016 TLS 1.2 升級規章，後來於 201 5