Ich versuche, diese Google Poodle-Sicherheitslücke etwas besser zu verstehen. Ich habe also einen Server und muss SSL deaktivieren. Das ist kein Problem, da die Anzahl der Benutzer, die SSL noch verwenden, gering sein wird (Windows XP – IE6, glaube ich).
So, SSL ist jetzt deaktiviert, alles ist in Ordnung.
Hier ist das Problem: Um jetzt PCI-kompatibel zu sein, müssen Sie bis Juni 2016 die TLS 1.0-Unterstützung deaktivieren. Da ich nicht dachte, dass dies ein Problem sein würde, habe ich es auf dem Server deaktiviert. Jetzt stelle ich fest, dass einige gängige Paarungen, z. B. Windows XP auf IE8, keine Verbindung zu meiner Website herstellen können. Wenn sie meine Webseite besuchen, wird ihnen eine Fehlermeldung angezeigt, dass sie keine Verbindung herstellen können.
Das scheint vielleicht keine große Sache zu sein, denn Sie fragen sich wahrscheinlich, wer Dinge wie XP und IE8 verwendet. Ob Sie es glauben oder nicht, in vielen großen Unternehmen ist dies immer noch eine sehr gängige Kombination. Einerseits habe ich keine andere Wahl, als PCI-konform zu sein, andererseits können dadurch etwa 5 % meiner Besucher meine Site nicht anzeigen (und 5 % sind eine große Zahl).
Welche Optionen habe ich also? Gibt es bei deaktiviertem TLS 1.0 eine Möglichkeit, meine Site auch Personen ohne Unterstützung für TLS 1.1 und höher anzuzeigen?
Danke
Antwort1
Wenn Ihre PCI-Konformität erfordert, dass Sie die Unterstützung für SSLv3 und TLS 1.0 einstellen, dann müssen Sie dies, wie Sie sagen, tun, um konform zu bleiben. Ohne jedoch ein PCI-Experte zu sein, stelle ich mir vor, dass PCI nur Systeme abdeckt, die Finanzdaten verarbeiten.
Um diese Anforderungen zu umgehen, können Sie Ihre Website unter Umständen aufteilen, sodass der Teil Ihrer Website, der allgemeine Informationen über Ihr Unternehmen bereitstellt, eine reine HTTP-Site oder HTTPS mit Fallback auf SSLv3 ist. Die wirklich sensible Webanwendung kann dann nur mit TLS 1.1+ bedient werden. Haben Sie Statistiken darüber, wie viele Benutzer von diesen alten, knarzenden Maschinen aus tatsächlich den sicheren Teil Ihrer Website nutzen, anstatt nur auf Ihrer Website nach allgemeinen Informationen zu suchen?
Dann hätte Ihre Webanwendung die Möglichkeit, zu erkennen, dass der Browser des Benutzers nicht mit dem sicheren Teil der Website kompatibel ist, und ihn zu einem Upgrade aufzufordern.
Das bedeutet zwar, dass die Unterstützung für Windows XP eingestellt wird, aber Sie wären nicht der Erste, der das tut. Microsoft unterstützt es seit über einem Jahr nicht mehr und Sie sind von diesen neuen Anforderungen nicht allein betroffen. Ihre Kunden, die noch diese älteren, nicht unterstützten Plattformen verwenden, werden auf jeden Fall zum Upgrade gezwungen.