脆弱なSSLおよびTLSからの移行期限の変更について

PCI SSCは、2015年12月18日、SSLおよび初期のTLSから、安全なTLSへの移行期限の延長に関するプレスリリース[1]を公開しました。

[1] “PCI SECURITY STANDARDS COUNCIL REVISES DATE FOR MIGRATING OFF VULNERABLE SSL AND EARLY TLS ENCRYPTION”

PCI SSC は、2015年4月に公開した PCI DSS 3.1 で、移行期限を2016年6月30日としていましたが、その後、ビジネス的制約および技術的制約に関するフィードバックを受け、上記プレスリリースで、2018年6月30日に期限を延長することを発表しています。また、上記プレスリリースと併せて公開された告示 [2]、 [3] では、以下の改訂を行うことを示しています。


  • アクワイヤラ、プロセッサ、ゲートウェイ、およびサービスプロバイダを含む、処理業者および第三者の事業体すべては、2016年6月までに、TLS 1.1 以上のサービスを提供しなければならない
  • すべての新しい実装は、PCI DSS v3.1に記載されている通り、TLS 1.1以上を有効にしなければならない
  • すべての事業体は、2018年6月30日の発効日をもって、TLSの安全なバージョン(NISTによる定義に基づく)のみを使用しなければならない(以下の例外を除く)
  • SSLおよび初期のTLSに対するすべての既知の攻撃の影響を受けないことが確認され、実証可能なリスクがないPOIターミナルにおいて使用されているSSL/TLS 1.0 は、PCI DSS v3.1に記載されている例外通り、2018年6月以降も使用することができる

[2] “Date Change for Migrating from SSL and Early TLS”

[3] “Bulletin on Migrating from SSL and Early TLS A Resource Guide from the PCI Security Standards Council”

また、これに伴い、PCI SSCは、2016年中に、PCI DSSを改訂することも発表しています[1]


脆弱なSSLおよびTLSからの移行期限の変更について