Wir müssen für die Webanwendung, die wir gerade entwickeln, ein PCI 3.1-Audit bestehen. Sie läuft auf Amazon EC2 mit NGINX unter Debian.
Wir stehen bezüglich Zertifikaten mit Symantec in Kontakt und sind insbesondere an Secure Site Pro mit EV-Zertifikat und Wildcard-Zertifikat interessiert (wir hätten einen Server mit dynamischen Subdomänennamen und denken deshalb über das Wildcard-Zertifikat nach).
Ich wollte nur sicherstellen, dass ich nicht Tausende von Dollar ausgebe und dann herausfinde, dass diese für PCI 3.1 nicht geeignet sind oder dass die Kombination aus NGINX und Debian für diese Art von Zertifikaten nicht funktioniert.
Hat jemand Erfahrung mit dem Versuch, PCI-DSS 3.1-kompatibel zu werden, und kann uns Ratschläge geben, welche SSL-Zertifikate wir uns besorgen sollten?
Antwort1
Vorbehalt: Ich musste nie eine PCI-Zertifizierung durchlaufen. Dies basiert auf meiner Recherche zu diesem Thema für Ihre Frage.
Es sieht so aus, als ob der Hauptunterschied zwischen PCI3.0 und PCI3.1 darin besteht, dass 3.1 TLS1.1oder höher erforderlich ist. SSL3 oder TLS1.0 können nicht verwendet werden. Siehehttp://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/An manchen Stellen wird sogar erwähnt, dass TLS1.1 nicht zulässig ist. Wenn Sie jedoch nur TLS1.2 verwenden, würden Sie möglicherweise eine sehr große Anzahl Ihrer Besucher abschneiden, z. B. Android unter 4.4 und alle IE unter 11. Wenn das für Ihr Unternehmen akzeptabel ist, machen Sie es.
Darüber hinaus scheinen EV-Zertifikate nicht ausdrücklich erforderlich zu sein. Sie sind für die Site-Erkennung nützlich, um Phishing zu verhindern, sind jedoch keine strikte Anforderung für PCI.
Ich sehe auch nichts, was Wildcard-Zertifikate verbieten würde.
Sie können jedes Wildcard-Zertifikat erhalten, solange dessen Vertrauenskette Teil des Browsers Ihres Besuchers ist. Es muss kein EV-Zertifikat sein und es muss nicht von Symantec stammen.
Ein wichtiger Teil Ihres Setups besteht darin, sicherzustellen, dass Ihr Nginx oder andere SSL-terminierende Software/Hardware die richtigen Verschlüsselungseinstellungen verwendet. Mozilla hat eine nette Seite erstellt, auf der Sie Ihre Komponenten und deren Versionen auswählen können und die eine „Best Practices“-Konfiguration für Sie generiert. Siehehttps://mozilla.github.io/server-side-tls/ssl-config-generator/Undhttps://wiki.mozilla.org/Security/Server_Side_TLS
Antwort2
Kurz zusammengefasst:PCI-DSS 3.1ist sofort wirksam, die Anforderung zur Deaktivierung von TLS 1.0 und SSL 3 tritt jedoch erst nach dem 30. Juni 2016 in Kraft.
In den meisten Fällen sollten Sie SSL aufgrund der POODLE-Sicherheitslücke bereits vor 3 Monaten oder länger deaktiviert haben. Das ist also kein Grund zur Sorge.
Das Interessante an dieser Anforderung ist, dass TLS 1.0 nicht verwendet werden kann.
Die offizielle Mitteilung lautet:
SSL und frühe Versionen von TLS gelten nicht als starke Kryptografie und können nach dem 30. Juni 2016 nicht mehr als Sicherheitskontrolle verwendet werden. Vor diesem Datum müssen bestehende Implementierungen, die SSL und/oder frühe Versionen von TLS verwenden, über einen formellen Risikominderungs- und Migrationsplan verfügen. Ab sofort dürfen neue Implementierungen weder SSL noch frühe Versionen von TLS verwenden. POS-POI-Terminals (und die SSL/TLS-Endpunkte, mit denen sie verbunden sind), bei denen nachgewiesen werden kann, dass sie nicht anfällig für bekannte Angriffe auf SSL und frühe Versionen von TLS sind, können diese nach dem 30. Juni 2016 weiterhin als Sicherheitskontrolle verwenden.
--Migration von SSL und frühen TLS-Versionen, PCI-DSS-Informationsbeilage
Wobei „frühes TLS“ als TLS 1.0 definiert ist. Nur TLS 1.1 und 1.2 sind zulässig, und 1.2 wird dringend empfohlen.
Zwar dürfen Sie für Point-of-Sale-Geräte und deren Backends noch immer TLS 1.0 und SSL 3 verwenden, Sie sollten jedoch unbedingt auch eine Aktualisierung dieser Technologien in Erwägung ziehen, sofern Sie nachweisen können, dass Sie alle möglichen Probleme behoben haben.
Abgesehen davon ist dies ein weiterer Nagel im Sarg von Windows XP ...