アカウント名:
パスワード:
・PCI DSSの基準では、NVD [nist.gov]でCVSS v2 Base Score 4以上の脆弱性がある暗号は原則として安全でないとしている。・CVE-2011-3389 [nist.gov] (通称BEAST)がCVSS v2 Base Score 4.3を獲得したので、TLS 1.0でCBCのブロックモード暗号を使えなくなった。今でも銀行やクレジットカード会社のサイトでRC4しか有効にしていないところがあるのは主にこのせい。・CVE-2015-2808 [nist.gov]でRC4に対する攻撃(通称Bar Mitzvah attack)もCVSS v2 Base Score 4.3をマークしたので、RC4も使えなくなった。TLS 1.0で定義されている暗号はCBCモードのブロック暗号とRC4しかないので、TLS 1.0では使用可能な暗号がなくなった。・上記を受けて、TLS 1.0を使用禁止するようPCS DSSが改定された。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
経緯 (スコア:0)
・PCI DSSの基準では、NVD [nist.gov]でCVSS v2 Base Score 4以上の脆弱性がある暗号は原則として安全でないとしている。
・CVE-2011-3389 [nist.gov] (通称BEAST)がCVSS v2 Base Score 4.3を獲得したので、TLS 1.0でCBCのブロックモード暗号を使えなくなった。今でも銀行やクレジットカード会社のサイトでRC4しか有効にしていないところがあるのは主にこのせい。
・CVE-2015-2808 [nist.gov]でRC4に対する攻撃(通称Bar Mitzvah attack)もCVSS v2 Base Score 4.3をマークしたので、RC4も使えなくなった。TLS 1.0で定義されている暗号はCBCモードのブロック暗号とRC4しかないので、TLS 1.0では使用可能な暗号がなくなった。
・上記を受けて、TLS 1.0を使用禁止するようPCS DSSが改定された。