La verifica delle firme ti consente di ottenere due delle tre principali funzioni di sicurezza che HTTPS fornisce: integrità e autenticità . Si può sostenere a questo proposito che non c'è un requisito rigoroso per la terza, riservatezza - sebbene la conoscenza di patch specifiche potrebbe portare alla divulgazione di informazioni che potrebbero essere utili a un attacker, CWE-200 .
Se questo è consentito attraverso un firewall che deve soddisfare PCI DSS, l'uso di un protocollo non sicuro deve essere documentato (PCI-DSS v3.0):
1.1.6 Documentation and business justification for use of all services, protocols, and ports allowed, including documentation of security features implemented for those protocols considered to be insecure.
La risposta è no, HTTPS non è richiesto per questo scopo. Tuttavia, il processo dovrebbe essere documentato e, se necessario, qualsiasi procedura manuale come il mantenimento dei certificati, notando anche che §6.2 richiede la patch e che §6.4.5 e subordinati richiedono processi di controllo delle modifiche per l'applicazione delle patch.
Ulteriori misure di mitigazione che potrebbero essere raccomandate sono
- blocca la regola del firewall HTTP in uscita su destinazioni limitate, se necessario (consegna anche se i CDN lo rendono in gran parte inutile)
- blocca la regola del firewall in base al tempo o abilita / disabilita manualmente
- usa invece un proxy HTTP in una zona di rete diversa, oltre alla registrazione controllabile e agli obiettivi futuri per DLP , questo rimuove la necessità di HTTP e DNS in uscita sui client