最近、システムのサードパーティレビューを実施しました。コンサルタントは、TLSv1.0が有効になっているという調査結果を報告しました。レポートで彼らは言及しています このNISTドキュメント 推奨(ページ28):
サーバーが政府専用のアプリケーションをサポートする場合、TLSバージョン1.0をサポートするように構成されません。サーバーが市民またはビジネス向けのアプリケーションをサポートしている場合は、TLSバージョン1.0をサポートするように構成できます。
私たちは政府ではありませんが、セキュリティのために、オンラインのSSLアナライザーを実行して問題がないか確認することにしました。赤い旗は表示されませんでした。私の質問は、TLS 1.0を完全に無効にする必要があるかどうかです。
私たちは、どのような支払い機能も含まないWebアプリケーションの管理ポータルを扱っているため、PCI-DSSは必須ではありません。
これを無効にする前に、サイトに接続しているブラウザーの監査を取得してください。これをTLS 1.0サポートと相互参照する必要があります。これにより、TLS 1.0を介して何もサポートできないかのように顧客を遮断するような、これを必要とする顧客ベースのアイデアが得られます。
あなたはそれを切り離す必要がありますか?あなたのアプリは何をしますか?あなたの業界はどのような規制に従っていますか?