Exploración de conformidad con PCI No se puede admitir TLS 1.0, pero se elimina la interrupción de la compatibilidad IE 10

22

Mi empresa está recibiendo este mensaje, lo que nos hace fallar nuestro análisis de conformidad con TrustKeeper PCI:

Nota para escanear al cliente: esta vulnerabilidad no se reconoce en la Base de datos nacional de vulnerabilidad. TLS v1.0 viola PCI DSS y es considerado una condición de falla automática.

Según: enlace

TLS 1.1 está deshabilitado de forma predeterminada en IE10 y no está disponible en versiones anteriores. Tenemos una audiencia de IE de buen tamaño.

¿Eso significa que todos nuestros usuarios con TLS 1.1 no habilitados o admitidos no podrán usar nuestro sitio web si hacemos este cambio? Esto parece tan pronto. ¿Me estoy perdiendo de algo? Todo nuestro tráfico se sirve a través de un equilibrador de carga, ¿sería posible mostrar algún tipo de mensaje para aquellos que no admiten TLS 1.1?

    
pregunta sam_so 28.04.2015 - 23:09
fuente

3 respuestas

21

Versión corta:

Versión larga:

PCI DSS 3.1 se lanzó hace dos semanas, el 14 de abril de 2015. Se establece que

  

SSL y TLS inicial no se consideran criptografía fuerte y no pueden ser   utilizado como control de seguridad después del 30 de junio de 2016.

En diciembre de 2015, la fecha de para migrar las aplicaciones existentes se retrasó dos años :

  

El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) es   extensión de la fecha de finalización de la migración hasta el 30 de junio de 2018 para   transición de SSL y TLS 1.0 a una versión segura de TLS   (actualmente v1.1 o superior).

     

Estas fechas proporcionadas por PCI SSC a partir de diciembre de 2015 sustituyen a   Fechas originales emitidas en ambos PCI Data Security Standard v3.1 (DSS   3.1) y en la Migración de SSL y el Suplemento de información TLS a principios de abril de 2015.

Según tengo entendido, las "nuevas aplicaciones" aún deben implementarse de acuerdo con el nuevo requisito de 1.1+; la extensión solo se aplica a las aplicaciones existentes que utilizaron TLS 1.0 antes de abril de 2015.

La definición de lo que significa "TLS temprano" es el tema del debate fascinado entre los QSA, pero es seguro decir que 1.0 es parte de él (y 1.1? ¡Podría ser! ¡Espere y averigüe!). (Actualización: a partir de diciembre de 2015, 1.1 sigue siendo "seguro")

Aquí es cómo TrustWave dice que están implementando estas directrices:

  
  • Las nuevas implementaciones deben usar alternativas a SSL y TLS anterior.
  •   
  • Las organizaciones con implementaciones existentes de SSL y TLS temprana deben tener implementado un plan de migración y mitigación de riesgos.
  •   
  • Antes del 30 de junio de 2016, los proveedores de escaneo aprobados (ASV) pueden documentar la recepción de una migración y mitigación de riesgos de una organización   como excepción en el informe de análisis de ASV (de acuerdo con el   Guía del programa ASV).
  •   
  • Los dispositivos de punto de venta (POS) o punto de interacción (POI) que pueden verificarse como no susceptibles a todas las vulnerabilidades conocidas de SSL y   TLS temprano puede continuar usando estos protocolos como control de seguridad   después del 30 de junio de 2016.
  •   

Por lo tanto, si se trata de una aplicación nueva, es posible que deba eliminar la compatibilidad con TLS 1.0. Si no es así, oprima TrustWave y descubra qué tipo de "plan de migración y mitigación de riesgos" requieren.

(Al sacar el enlace de @ mti2935 de los comentarios, aquí está Plantilla del plan de riesgo de Trustwave . ¡Gracias @ mti2935!)

    
respondido por el gowenfawr 29.04.2015 - 00:07
fuente
5

PCI DSS prohíbe TLSv1.0. No, no podrá mostrar un mensaje a los usuarios de TLSv1.0 sin violar PCI DSS, porque mostrar un mensaje a los usuarios finales significa que debe finalizar la negociación de TLSv1.0. Técnicamente, es posible configurar el script del lado del servidor para verificar las variables de entorno SSL para TLSv1.0 y mostrar un mensaje de error en ese caso, pero eso no está permitido por PCI DSS.

No importa si finaliza la negociación con el fin de aceptar datos de la tarjeta de crédito o si finaliza la negociación con el fin de mostrar el mensaje "actualice su navegador". El mero aceptar u ofrecer SSv2, SSLv3 o TLSv1.0 está prohibido en absoluto.

Dado que la exploración de PCI DSS está automatizada y falla en el estado de negociación, no importa si presiona un HTTP 403 al detectar una conexión TLSv1.0.

Sin embargo, puedo decir que los usuarios de IE10 son muy pocos. IE10 se entrega con el medio antiguo de Windows 7, y en la mayoría de los casos se actualizan automáticamente a través de la actualización de Windows. Esos usuarios con los que tiene que luchar es IE8, que es de Windows XP, e IE9 que está disponible al máximo en Vista. Aquellos en Windows 7 y versiones posteriores tienen IE11.

    
respondido por el sebastian nielsen 28.04.2015 - 23:32
fuente
0

Ejecute las comprobaciones en el lado http.

Primer sitio

enlace .

Esto comprueba el navegador y arroja un error si no hay soporte. De lo contrario, redirige al sitio seguro.

Segundo sitio

enlace

El segundo sitio es el servidor PCI que admite lo que necesita. Es el que escaneas.

Si el usuario accede directamente a este sitio, su sesión fallará. No hay mucho que puedas hacer para dar comentarios al usuario. Asegúrese de que todos sus enlaces dirijan al usuario a enlace .

Desafío

Si el usuario de alguna manera copia / pega un enlace al sitio seguro, aún no recibirá una notificación. Sin embargo, si navegan al área segura normalmente, no deberían tener problemas.

    
respondido por el Jonathan 28.04.2015 - 23:48
fuente

Lea otras preguntas en las etiquetas