TLS 1.0をサポートしているクライアントがTLS 1.2をサーバー上で実行する場合、ストライプでクライアントに許可されるのはなぜですか？

Question

ストライプは、多かれ少なかれ、このように動作します決済処理サービスです：

• ユーザーは、当社のWebアプリケーションを訪問し、いくつかのJavaScriptはストライプによって提供され、<script>内にロード
• 形で自分のカードの詳細を記入しますタグは、ストライプのサーバーにトークンのカードの詳細を交換する非同期要求を行います。
• トークンは、アプリケーションのバックエンドに送信され、ストライプに戻されます。これにより、ユーザーの銀行で請求が行われます。

私たちのサーバーはonly allowed to communicate with Stripe's API over TLS 1.2です。

しかし、ストライプフロントエンドJavaScriptは、TLS 1.2をそのまま使用するIE9とIE10をサポートしています。したがって、これらのブラウザの一部のユーザーは、弱いTLS 1.0を使用してStripe JavaScriptを要求します。

これらのユーザーのStripe JavaScriptを偽装し、カードの詳細を手掛けている人を止めるにはどうすればよいですか？

Answer 1

良い質問！

PCIセキュリティ規格審議会は、TLS 1.0の締め切り日を2018年6月30日に設定しました。[1]。

移行を簡単にするため、Stripeは2016年7月1日以降に作成されたアカウントに対してTLS 1.2を適用し始め、古いアカウントのTLS 1.0および1.1のサポートを段階的に段階的に廃止しています。

クライアント側のライブラリ（CheckoutとStripe.js）の場合、StripeはTLS 1.0/1.1を指定しているとします。これは、Stripeが、TLS 1.2を使用できない旧式のブラウザ/ OSを使用していても、顧客が支払いを不必要に阻止することを望まないためです。

もちろん、2018年6月30日までに、TLS 1.0ブラウザを使用しているお客様は、もはやStripe（または他のオンライン決済プロセッサ）経由で支払いすることができなくなります。