SSL și TLS 1

Acasă »SSL și TLS 1.0 nu mai sunt suficiente pentru conformitatea PCI

parametri securitate”

În aprilie, Consiliul PCI a publicat versiunea 3.1 a standardului său de securitate a datelor PCI-DSS. Deși majoritatea schimbărilor din această versiune minoră sunt mai mult o clarificare, există cel puțin o actualizare majoră cu privire la protocoalele de comunicații sigure: Consiliul a decis că SSL și TLS 1.0 nu mai pot fi utilizate după 30 iunie 2016.

Pentru tipărirea fină pentru aceste două protocoale, consultați Cerința 2.0: „Nu utilizați niciuna dintre setările implicite furnizate de furnizor pentru parolele de sistem și alți parametri de securitate”.

Presupun că protocoalele SSL (Secure Socket Layer) și TLS (Transport Layer Security) dezvoltate de Netscape intră sub descrierea ca „alți parametri de securitate”.

La revedere SSL
În orice caz, Consiliul răspunde la binecunoscutul exploatare SSL POODLE și la declarația agenției guvernamentale americane NIST (Institutul Național de Standarde și Tehnologie) cu privire la SSL. NIST anunțat în aprilie 2014, SSL nu ar trebui să mai fie utilizat pentru a proteja informațiile din agențiile guvernamentale.

Pentru a înțelege rolul TLS, ajută la cunoașterea istoriei sale.

Versiunea TLS 1.0 TLS a fost dezvoltată de grupul IETF în anii 1990 și se bazează în mare parte pe SSL. Scopul a fost de a crea o singură soluție de securitate non-proprietară pentru a rezolva problemele de compatibilitate. O serie de îmbunătățiri criptografice au fost implementate în TLS 1.1 și versiunea curentă 1.2.

Un punct important este că implementările TLS acceptă un proces de negociere de retrogradare în care clientul și serverul pot conveni asupra protocolului SSL mai slab dacă comunicarea are loc mai întâi peste noul TLS 1.2.

Atacul SSL POODLE folosește exact acest mecanism de downgrade forțând serverul să utilizeze protocolul SSL învechit. În teorie, atacul face și TLS vulnerabil.

În decembrie 2014, cercetătorii de securitate au descoperit că un atac de tip POODLE este capabil să atace TLS direct, adică fără a negocia o retrogradare.

În general, subiectul se complică destul de repede, iar opiniile asupra acestuia variază foarte mult. Unii experți în securitate acuză vânzătorii de browsere că plasează compatibilitatea peste cerințele de securitate, continuând să accepte SSL; alții dau vina pe întreaga industrie pentru problemă, deoarece consideră că standardul TLS nu a fost implementat corect.

O discuție interesantă pe această temă poate fi găsită pe această pagină de întrebări și răspunsuri privind schimbul de stive.

Ce poti face?
Consiliul recomandă să nu mai suporte deloc SSL 3.0 și TSL 1.0. Pe scurt: ar trebui să dezactivați SSL pe toate serverele și clienții și, în mod ideal, să schimbați totul complet la TLS 1.2.

Cu toate acestea, TLS 1.1 este acceptabil dacă este configurat corect. Consiliul face referire la un ghid publicat de NIST care descrie această configurație.