Tendremos que pasar una auditoría PCI 3.1 para la aplicación web que estamos desarrollando actualmente. Está en Amazon EC2 ejecutando NGINX en Debian.
Estamos en contacto con Symantec para obtener certificados y estamos particularmente interesados en Secure Site Pro con EV y Wildcard (tendríamos un servidor con nombres de subdominio dinámicos y por eso estamos pensando en el comodín). )
Solo quería asegurarme de no gastar miles de dólares y descubrir que estos no son adecuados para PCI 3.1 o que la combinación de NGINX y Debian no funcionará para ese tipo de certificados.
¿Alguien tiene experiencia tratando de cumplir con PCI-DSS 3.1 y puede dar algún consejo sobre qué certificados SSL deberíamos obtener?
Respuesta1
Advertencia: nunca tuve que pasar por la certificación PCI. Esto se basa en mi investigación sobre este tema para su pregunta.
Parece que la principal diferencia entre PCI3.0 y PCI3.1 es que se requiere 3.1 TLS1.1o superior. No se puede usar SSL3 o TLS1.0. Verhttp://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/Aunque, en algunos lugares incluso mencionan que TLS1.1 no está permitido. Sin embargo, al tener solo TLS1.2, estaría eliminando una cantidad potencialmente muy grande de visitantes, como Android por debajo de 4.4 y todos los IE por debajo de 11. Si eso es aceptable para su negocio, hágalo.
Además, parece que los certificados EV no se requieren explícitamente. Son beneficiosos para el reconocimiento del sitio y ayudan a disuadir el phishing, pero no son un requisito estricto para PCI.
Tampoco veo nada que prohíba los certificados comodín.
Puede obtener cualquier certificado comodín siempre que su cadena de confianza sea parte del navegador de su visitante. No es necesario que sea un certificado EV ni que sea de Symantec.
Una parte importante de su configuración es asegurarse de que su Nginx u otro software/hardware de terminación SSL utilice la configuración de cifrado correcta. Mozilla creó una página agradable que le permite elegir sus componentes y sus versiones y generará una configuración de "mejores prácticas" para usted. Verhttps://mozilla.github.io/server-side-tls/ssl-config-generator/yhttps://wiki.mozilla.org/Security/Server_Side_TLS
Respuesta2
TL;DR:PCI-DSS 3.1entra en vigor inmediatamente, pero el requisito de desactivar TLS 1.0 y SSL 3 entra en vigor después del 30 de junio de 2016.
En la mayoría de los casos, ya debería haber desactivado SSL hace 3 meses, o más, por la vulnerabilidad POODLE. Entonces eso no es una preocupación.
La parte interesante de este requisito es no poder utilizar TLS 1.0.
La palabra oficial es:
SSL y TLS temprano no se consideran criptografía sólida y no se pueden usar como control de seguridad después del 30 de junio de 2016. Antes de esta fecha, las implementaciones existentes que usan SSL y/o TLS temprano deben contar con un plan formal de mitigación de riesgos y migración. Con efecto inmediato, las nuevas implementaciones no deben utilizar SSL ni TLS inicial. Los terminales POS POI (y los puntos de terminación SSL/TLS a los que se conectan) que se pueda verificar que no son susceptibles a ningún exploit conocido para SSL y TLS temprano, pueden continuar usándolos como control de seguridad después del 30 de junio de 2016.
--Migrar desde SSL y TLS temprano, Suplemento informativo PCI-DSS
Donde "TLS temprano" se define como TLS 1.0. Solo se permitirán TLS 1.1 y 1.2, y se recomienda encarecidamente 1.2.
Si bien aún se le permitirá usar TLS 1.0 y SSL 3 para dispositivos de punto de venta y sus backends, siempre que pueda demostrar que ha mitigado todos los problemas posibles, también debería considerar actualizarlos.
Aparte, este es otro clavo en el ataúd de Windows XP...