È compatibile con il protocollo SSL flessibile di Cloudflare

Naviga le tue risposte
0

Desidero utilizzare Stripe per ricevere donazioni su un sito Web.

Comprendo che Stripe si prende cura della maggior parte della conformità PCI ma richiede l'uso di Transport Layer Security (TLS) ) in modo che utilizzino HTTPS in base al loro sito Web.

La mia domanda è, dal momento che il SSL flessibile l'opzione su Cloudlfare non è end-to-end, conta ancora? Sto cercando di capire se dovrei / sono obbligato ad acquistare un certificato SSL quando Cloudflare può convincere il mio sito a dire che è HTTPS?

Si prega di distinguere ciò che è richiesto da ciò che è raccomandato nelle risposte, poiché sto cercando di capire le mie opzioni, se presenti.

Grazie.

    
posta Summer Developer 12.06.2017 - 15:31
fonte

2 risposte

2

No, SSL flessibile non soddisfa i requisiti PCI. SSL flessibile (sottolineatura mia):

Flexible SSL encrypts traffic from Cloudflare to end users of your website, but not from Cloudflare to your origin server.

che è in conflitto con PCI DSS §4.1 (enfasi mia):

Use strong cryptography and security protocols to safeguard sensitive cardholder data during transmission over open, public networks

Avresti bisogno dell'opzione SSL completo da Cloudflare per essere conforme PCI:

Full SSL mode provides encryption from end users to CloudFlare and from CloudFlare to your origin server. This requires an SSL certificate on your origin server. In Full SSL mode, you have three options for certificates to install on your server: one issued by a Certificate Authority (Strict), one issued by Cloudflare (Origin CA), or a self signed certificate. It is recommended that you use a certificate obtained through Cloudflare Origin CA.

Un certificato autofirmato non ti costerà nulla, e la CA di origine di CloudFlare è anche gratuito e cerca di semplificare la gestione dei certificati.

    
risposta data 12.06.2017 - 16:51
fonte
1

Dato che stai sollecitando le donazioni, immagino che il tuo budget sia limitato. Potresti avere una soluzione alternativa qui.

Indietro Stavo facendo il lavoro di e-commerce, la soluzione più semplice era quella di non raccogliere o gestire le informazioni di pagamento sul tuo sito (se il cliente lo permetteva) - l'utente naviga nel tuo sito, ma quando arriva il momento di pagare , puoi effettuare il reindirizzamento a un sito protetto da TLS sul dominio di Paypal / (altro processore) per effettuare il pagamento.

In questo modo, l'intero sito potrebbe operare in testo normale (tranne le pagine di accesso, ecc.) e il tipo di crittografia che hai utilizzato per proteggere le tue pagine sensibili era a tua discrezione. Potresti scappare con SSL flessibile, perché i segmenti conformi allo standard PCI erano protetti end-to-end dal lato del processore.

(Vuoi comunque una sorta di HTTPS sul tuo sito per il vantaggio SEO se non altro).

Una volta completato il pagamento, vengono reindirizzati dal processore a qualsiasi pagina di ringraziamento sul tuo sito.

    
risposta data 12.06.2017 - 17:21
fonte

Leggi altre domande sui tag

Perché in questo documento le chiavi private (pubbliche) vengono utilizzate per crittografare (decrittografare) i messaggi? Qual è il rischio se non ho una passphrase associata alla chiave privata CA?