Scansione conformità PCI Impossibile supportare TLS 1.0, ma rimuovere le interruzioni di supporto IE 10

Naviga le tue risposte
22

La mia azienda riceve questo messaggio causandoci il fallimento della nostra scansione di conformità PCI TrustKeeper:

Nota per la scansione del cliente: questa vulnerabilità non è riconosciuta in Database di vulnerabilità nazionale. TLS v1.0 viola PCI DSS e lo è considerato una condizione di errore automatico.

Secondo: link

TLS 1.1 è disabilitato per impostazione predefinita in IE10 e non è disponibile per tutte le versioni precedenti. Abbiamo un pubblico di IE di buone dimensioni.

Significa che tutti i nostri utenti con TLS 1.1 non abilitati o supportati non saranno più in grado di utilizzare il nostro sito Web se apportiamo questa modifica? Questo sembra così presto. Mi sto perdendo qualcosa? Tutto il nostro traffico è servito attraverso un sistema di bilanciamento del carico, sarebbe possibile visualizzare una sorta di messaggio per coloro che non supportano TLS 1.1?

    
posta sam_so 28.04.2015 - 23:09
fonte

3 risposte

21

Versione breve:

Versione lunga:

PCI DSS 3.1 è stato rilasciato due settimane fa, il 14 aprile 2015. Prevede che

SSL and early TLS are not considered strong cryptography and cannot be used as a security control after 30th June, 2016.

A dicembre 2015, la data per la migrazione delle applicazioni esistenti è stata rinviata di due anni :

The Payment Card Industry Security Standards Council (PCI SSC) is extending the migration completion date to 30 June 2018 for transitioning from SSL and TLS 1.0 to a secure version of TLS (currently v1.1 or higher).

These dates provided by PCI SSC as of December 2015 supersede the original dates issued in both PCI Data Security Standard v3.1 (DSS 3.1) and in the Migrating from SSL and early TLS Information Supplement in April 2015.

A quanto ho capito, "nuove applicazioni" devono ancora essere implementate in linea con il nuovo requisito di 1.1+; l'estensione si applica solo alle applicazioni esistenti che hanno utilizzato TLS 1.0 prima di aprile 2015.

La definizione di cosa significa "early TLS" è oggetto di un appassionato dibattito tra i QSA, ma è sicuro che 1.0 fa parte di esso (e 1.1? Potrebbe essere! Aspetta e scoprilo!). (Aggiornamento: a dicembre 2015, 1.1 è ancora "sicuro")

Ecco come TrustWave dice che stanno implementando queste linee guida:

  • New implementations must use alternatives to SSL and early TLS.
  • Organizations with existing implementations of SSL and early TLS must have a risk mitigation and migration plan in place.
  • Prior to June 30, 2016, Approved Scanning Vendors (ASVs) may document receipt of an organizations risk mitigation and migration plan as an exception in the ASV Scan Report (in accordance with the ASV Program Guide).
  • Point of Sale (POS) or Point of Interaction (POI) devices that can be verified as not being susceptible to all known exploits of SSL and early TLS may continue to use these protocols as a security control after June 30, 2016.

Quindi, se si tratta di una nuova applicazione, potrebbe essere necessario rimuovere il supporto TLS 1.0. In caso contrario, torna su TrustWave e scopri quale tipo di "piano di migrazione e mitigazione del rischio" di cui hanno bisogno.

(Tirando fuori il link da @ mti2935 fuori dai commenti, ecco Modello del piano di rischio di Trustwave . Grazie @ mti2935!)

    
risposta data 29.04.2015 - 00:07
fonte
5

PCI DSS proibisce TLSv1.0. No, non sarai in grado di mostrare un messaggio agli utenti TLSv1.0 senza violare PCI DSS, perché mostrare un messaggio agli utenti finali significa che devi concludere la negoziazione TLSv1.0. Tecnicamente è possibile configurare lo script lato server per controllare le variabili di ambiente SSL per TLSv1.0 e mostrare un messaggio di errore in questo caso, ma questo non è consentito per PCI DSS.

Non importa se finisci la negoziazione allo scopo di accettare i dati della carta di credito o se finisci la negoziazione allo scopo di mostrare un messaggio "per favore aggiorna il tuo browser". È assolutamente vietato accettare o offrire SSv2, SSLv3 o TLSv1.0.

Poiché la scansione PCI DSS è automatizzata e non riesce allo stato di negoziazione, non importa nemmeno se si preme un HTTP 403 al rilevamento di una connessione TLSv1.0.

Tuttavia, posso dire che gli utenti di IE10 sono pochissimi. IE10 viene fornito con il vecchio supporto di Windows 7 e nella maggior parte dei casi viene aggiornato automaticamente tramite l'aggiornamento di Windows. Gli utenti con cui devi lottare sono IE8, ovvero Windows XP e IE9, che è il massimo disponibile su Vista. Quelli su Windows 7 e successivi hanno IE11.

    
risposta data 28.04.2015 - 23:32
fonte
0

Esegui i controlli sul lato http.

Primo sito

link .

Controlla il browser e genera un errore se non c'è supporto. In caso contrario, reindirizza al sito protetto.

Secondo sito

link

Il secondo sito è il server PCI che supporta ciò di cui hai bisogno. È quello che si esegue la scansione.

Se l'utente visita direttamente questo sito, la sua sessione fallirà. Non c'è molto che puoi fare per dare il feedback degli utenti. Assicurati che tutti i tuoi link indirizzino l'utente su link .

Challenge

Se l'utente in qualche modo copia / incolla un collegamento al sito sicuro, non riceverà alcuna notifica. Tuttavia, se navigano nell'area protetta normalmente, non dovrebbero avere problemi.

    
risposta data 28.04.2015 - 23:48
fonte

Leggi altre domande sui tag

Come funziona un criptatore per aggirare il rilevamento antivirus? Il mio paese sta tentando di bloccare WhatsApp, cosa fare?