현재 개발 중인 웹 애플리케이션에 대한 PCI 3.1 감사를 통과해야 합니다. Debian에서 NGINX를 실행하는 Amazon EC2에 있습니다.
우리는 인증서를 위해 Symantec과 접촉하고 있으며 특히 EV와 와일드카드가 포함된 Secure Site Pro에 관심이 있습니다(동적 하위 도메인 이름을 가진 서버가 하나 있으므로 와일드카드 서버를 고려하고 있습니다). )
나는 수천 달러를 지출하지 않고 이것이 PCI 3.1에 적합하지 않거나 NGINX와 Debian의 조합이 그러한 유형의 인증서에 작동하지 않을 것이라는 것을 확인하고 싶었습니다.
어떤 SSL 인증서를 받아야 하는지에 대해 조언을 줄 수 있는 PCI-DSS 3.1 규격을 준수하려고 노력한 경험이 있는 사람이 있습니까?
답변1
주의 사항: PCI 인증을 통과할 필요가 없었습니다. 이것은 귀하의 질문에 대한 이 주제에 대한 나의 연구를 기반으로 합니다.
PCI3.0과 PCI3.1의 주요 차이점은 3.1에는 TLS1.1그 이상이 필요하다는 것입니다. SSL3 또는 TLS1.0을 사용할 수 없습니다. 보다http://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/그러나 어떤 곳에서는 TLS1.1이 허용되지 않는다고 언급하기도 합니다. 그러나 TLS1.2만 사용하면 4.4 이하의 Android 및 11 이하의 모든 IE와 같이 잠재적으로 매우 많은 수의 방문자를 차단할 수 있습니다. 이것이 귀하의 비즈니스에 허용된다면 그렇게 하십시오.
게다가 EV 인증서가 명시적으로 필요하지 않은 것 같습니다. 이는 피싱을 방지하는 데 도움이 되는 사이트 인식에 유용하지만 PCI에 대한 엄격한 요구 사항은 아닙니다.
또한 와일드카드 인증서를 금지하는 항목도 없습니다.
신뢰 체인이 방문자 브라우저의 일부인 한 모든 와일드카드 인증서를 얻을 수 있습니다. EV 인증서일 필요도 없고 시만텍에서 발급받은 인증서일 필요도 없습니다.
설정에서 중요한 부분은 Nginx 또는 기타 SSL 종료 소프트웨어/하드웨어가 올바른 암호화 설정을 사용하는지 확인하는 것입니다. Mozilla는 구성 요소와 해당 버전을 선택할 수 있는 멋진 페이지를 만들었으며 "모범 사례" 구성을 생성합니다. 보다https://mozilla.github.io/server-side-tls/ssl-config-generator/그리고https://wiki.mozilla.org/Security/Server_Side_TLS
답변2
요약:PCI-DSS 3.1이는 즉시 적용되지만 TLS 1.0 및 SSL 3을 비활성화해야 하는 요구 사항은 2016년 6월 30일 이후부터 적용됩니다.
대부분의 경우 POODLE 취약점으로 인해 이미 3개월 이상 전에 SSL을 비활성화했어야 합니다. 그래서 그것은 걱정할 것이 아닙니다.
이 요구 사항의 흥미로운 부분은 TLS 1.0을 사용할 수 없다는 것입니다.
공식적인 단어는 다음과 같습니다.
SSL 및 초기 TLS는 강력한 암호화로 간주되지 않으며 2016년 6월 30일 이후에는 보안 제어로 사용할 수 없습니다. 이 날짜 이전에 SSL 및/또는 초기 TLS를 사용하는 기존 구현에는 공식적인 위험 완화 및 마이그레이션 계획이 마련되어 있어야 합니다. 즉시 적용되는 새로운 구현에서는 SSL 또는 초기 TLS를 사용해서는 안 됩니다. SSL 및 초기 TLS에 대한 알려진 악용에 취약하지 않은 것으로 확인될 수 있는 POS POI 터미널(및 연결되는 SSL/TLS 종료 지점)은 2016년 6월 30일 이후에도 이를 보안 제어로 계속 사용할 수 있습니다.
--SSL 및 초기 TLS에서 마이그레이션, PCI-DSS 정보 보충 자료
여기서 "초기 TLS"는 TLS 1.0으로 정의됩니다. TLS 1.1과 1.2만 허용되며 1.2를 적극 권장합니다.
POS 장치 및 해당 백엔드에 TLS 1.0 및 SSL 3을 계속 사용할 수 있지만 가능한 모든 문제를 완화했음을 입증할 수 있다면 이들도 업데이트하는 것을 강력히 고려해야 합니다.
여담이지만, 이것은 Windows XP 관의 또 다른 못입니다...