Onemogočite TLS 1.0
Imate spletno trgovino? Ali sprejemate spletna plačila? Vas skrbi, da boste kaznovani? Če je odgovor na vsa tri vprašanja “da”, morate takoj onemogočiti TLS 1.0. Časa za razmišljanje imate le še nekaj dni!
Payment Card Industry Security Standards Council (PCI SSC) je neodvisen organ ki so ga leta 2006 ustanovili American Express, Discover Financial Services, JCB International, MasterCard in Visa Inc. Organ je bil ustanovljen za zaščito podatkov na kartici. Določili so dvanajst osnovnih zahtev za vse prodajalce, ki sprejemajo spletno plačevanje. Medtem ko te zahteve niso del nobenega zakona, so jih podjetja za plačilne kartice dala kot obvezna za trgovce, ki sprejemajo plačila s karticami. Če trgovec ni skladen, se lahko soočijo z mesečnimi denarnimi kaznimi do 100.000 dolarjev.
PCI DSS v3.1, objavljen aprila 2015, je imel rok za selitev iz SSL in zgodnjega TLS na novejše, varnejše različice do junija 2016. Tukaj “selitev iz SSL in zgodnjega TLS” pomeni onemogočanje podpore za starejše različice SSL in TLS. Sčasoma je bil ta rok podaljšan za dve leti, 30. junija 2018 pa je določen kot nov rok.
Kaj se dogaja?
Ko se staramo, izgubljamo svojo moč, prav tako je tudi z varnostnimi protokoli. Secure Socket Layer (SSL), prvotni protokol za šifriranje je izdal svojo zadnjo različico (SSL 3.0) v letu 1999. Zaradi ranljivosti v SSL različicah je SSL kmalu nadomestil TLS. Od takrat so bile objavljene štiri različice TLS s TLS 1.0 iz leta 1999.
Zgodnje različice SSL in TLS so bile ugotovljene kot ranljive. Takšno priložnost izkoristijo hekerji, da prestrežejo in posegajo v občutljive podatke o kreditnih karticah strank, to so t.i. napadi s posrednikom.
Kaj je potrebno storiti?
Zdaj se morda sprašujete, zakaj ne prepovedujemo samo omenjenih protokolov. Sliši se dobro, vendar ni praktično. Ni osrednjega organa, ki lahko onemogoči starejše različice SSL / TLS za celoten internet; na strežnikih mora to storiti skrbnik strežnika.
Mnoge strani se še vedno izvajajo na starih strežnikih, ki ne podpirajo najnovejših različic TLS. Na primer, Windows Server 2008 ne podpira TLS 1.1, 1.2 in 1.3. Upravitelji teh spletnih mest morajo izvesti ASAP in se preseliti na novejše strežnike. Tudi če ste preselili na novejši strežnik ali že imate enega, niste še končali. Prav tako morate onemogočiti podporo za SSL in zgodnji TLS.
Katere verzije SSL / TLS je treba onemogočiti?
Preprosto povedano, onemogočiti morate TLS 1.0 in vse različice SSL. Prav tako je zelo priporočljivo, da onemogočite TLS 1.1 tudi z varnostnega vidika.
Ali ni TLS 1.2 / 1.1 uporabljen privzeto?
Večinoma ja. Če ste na strežniku pustili odprte starejše različice TLS, bodo prek njih vzpostavljene povezave. To bi pomenilo kršitev zahtev PCI DSS.