很难找到有关Azure应用服务(Web App)和PCI合规性的明确答案。 PCI标准3.1要求禁用TLS 1.0以及块大小为64位的块密码算法,如DES和3DES。显然,Azure Web Apps符合PCI标准3.0,但不符合3.1。微软是否有任何官方立场,他们何时会达到更新的标准(3.1)?用于Web Apps服务?我被告知我可以使用应用服务环境,以便能够禁用TLS 1.0和过时的密码,但(当然)这是一项优质服务,并且成本更高。由于上述问题,我们在Azure中托管的客户端站点未能通过PCI合规性扫描。我唯一的解决方案是将我的客户端站点移动到App Service Environment吗?
答案 0 :(得分:0)
从2018年4月30日开始,您将能够管理您的应用服务将接受的TLS版本。
我找不到要链接的来源,但我确实收到了一封包含以下内容的电子邮件:
到2018年4月30日:
通过Azure门户和Azure资源管理器模板,您将能够选择最低要求的TLS版本(1.1或1.2) 为您的应用程序。
我们将App Service应用程序配置为仅需要较新的TLS版本(1.1和1.2) - 在所需日期之前两个月。
2018年6月30日之后:
- 所有新创建的App Service应用程序将自动配置为需要TLS 1.2。您仍将保留配置选项 必要时,适用于您的应用的早期TLS版本,以实现兼容性 与较旧的浏览器客户端。
关于从密码套件中删除DES和3DES的问题,计划于2017年3月(https://appsvcssl.trafficmanager.net/),我的测试表明它已被删除(至少从一个新的网络应用程序中删除)美国东部。)