Come per PCI, dobbiamo smettere di usare SSL e TLS (1.0 e 1.1 in determinate implementazioni) dal 30 giugno 2016 come http://blog.securitymetrics.com/2015/04/pci-3-1-ssl-and-tls.htmlSSL e obsoleto TLS (1.0 e 1.1) per applicazione client Servizio Web su .Net 3.5
Abbiamo un'applicazione client su .Net 3.5 che utilizza l'oggetto HttpWebRequest per connettersi ai servizi web.
Come da MSDN SecurityProtocolType (https://msdn.microsoft.com/en-us/library/system.net.securityprotocoltype(v=vs.110).aspx) supporta solo Ssl3 e Tls (1.0) su .Net Framework 4 o successivi. Tls11 e Tls12 sono supportati solo in .Net Framework 4.5/4.6
Ciò significa che all'interno dell'ambiente di dati Cardholder e pienamente pci compatibile, è necessario aggiornare tutte le applicazioni a .Net 4.5/4.6 e consentire solo Tls12 SecurityProtocolType per connettersi a servizi Web esterni che utilizzano HttpWebRequest?
C'è qualche possibilità per Microsoft di rilasciare una patch per .Net 2.0 e versioni successive per supportare TLS 1.2 per la sicurezza? La ragione è che la maggior parte delle aziende non avrà risorse pianificate per ricompilare tutte le applicazioni nell'ambiente dei dati dei titolari di carta su .Net 4.5 entro il 30 giugno 2016. – Nirlep
Personalmente ne dubito fortemente, la loro soluzione era implementare TLS 1.1+ in .Net 4.5. –
La ricompilazione con .Net 4.6 come destinazione non richiede modifiche al codice, poiché .Net 4.6 abilita TLS 1.2 per impostazione predefinita. Una ricompilazione può essere evitata interamente per la maggior parte delle applicazioni con targeting .Net 3.5 o versione successiva modificando il registro (consultare le istruzioni su https://technet.microsoft.com/en-us/library/security/2960358.aspx#ID0ETHAE). Questo cambia il comportamento predefinito. Le applicazioni che specificano esplicitamente il protocollo di sicurezza richiedono comunque un cambio di codice. – Brian