Teremos que passar por uma auditoria PCI 3.1 para o aplicativo web que estamos desenvolvendo atualmente. Está no Amazon EC2 executando o NGINX no Debian.
Estamos em contato com a Symantec para obter certificados e estamos particularmente interessados no Secure Site Pro com EV e no Wildcard (teríamos um servidor com nomes de subdomínios dinâmicos e é por isso que estamos pensando no curinga )
Eu só queria ter certeza de que não gastaria milhares de dólares e descobriria que eles não são adequados para PCI 3.1 ou que alguém que a combinação de NGINX e Debian não funcionaria para esses tipos de certificados.
Alguém tem experiência em tentar ser compatível com PCI-DSS 3.1 que possa dar alguns conselhos sobre quais certificados SSL devemos obter?
Responder1
Advertência: nunca precisei passar pela certificação PCI. Isso se baseia em minha pesquisa sobre este tópico para sua pergunta.
Parece que a principal diferença entre PCI3.0 e PCI3.1 é que 3.1 requer TLS1.1ou superior. Não é possível usar SSL3 ou TLS1.0. Verhttp://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/Embora, em alguns lugares, eles até mencionem que o TLS1.1 não é permitido. No entanto, tendo apenas TLS1.2, você estaria cortando um número potencialmente muito grande de visitantes, como Android abaixo de 4.4 e todos os IE abaixo de 11. Se isso for aceitável para sua empresa, vá em frente.
Além disso, parece que os certificados EV não são explicitamente exigidos. Eles são benéficos para o reconhecimento de sites para ajudar a impedir o phishing, mas não são um requisito estrito para PCI.
Também não vejo nada que proíba certificados curinga.
Você pode obter qualquer certificado curinga, desde que sua cadeia de confiança faça parte do navegador do visitante. Não precisa ser um certificado EV e não precisa ser da Symantec.
Uma parte importante de sua configuração é garantir que seu Nginx ou outro software/hardware de terminação SSL use configurações de criptografia corretas. A Mozilla criou uma página legal que permite que você escolha seus componentes e suas versões e gerará configurações de "melhores práticas" para você. Verhttps://mozilla.github.io/server-side-tls/ssl-config-generator/ehttps://wiki.mozilla.org/Security/Server_Side_TLS
Responder2
DR:PCI-DSS 3.1entra em vigor imediatamente, mas o requisito para desativar o TLS 1.0 e o SSL 3 entra em vigor após 30 de junho de 2016.
Na maioria dos casos, você já deveria ter desabilitado o SSL há 3 meses ou mais, devido à vulnerabilidade POODLE. Então isso não é uma preocupação.
A parte interessante deste requisito é não poder usar o TLS 1.0.
A palavra oficial é:
SSL e TLS antigo não são considerados criptografia forte e não podem ser usados como controle de segurança após 30 de junho de 2016. Antes dessa data, as implementações existentes que usam SSL e/ou TLS antigo devem ter um plano formal de mitigação e migração de riscos em vigor. Com efeito imediato, novas implementações não devem usar SSL ou TLS antigo. Terminais POS POI (e os pontos de terminação SSL/TLS aos quais eles se conectam) que podem ser verificados como não suscetíveis a quaisquer explorações conhecidas de SSL e TLS antigo, podem continuar a usá-los como controle de segurança após 30 de junho de 2016.
--Migrando de SSL e TLS antigo, Suplemento de Informações PCI-DSS
Onde "TLS inicial" é definido como TLS 1.0. Somente TLS 1.1 e 1.2 serão permitidos, e 1.2 é fortemente recomendado.
Embora você ainda tenha permissão para usar TLS 1.0 e SSL 3 para dispositivos de ponto de venda e seus back-ends, desde que possa provar que mitigou todos os problemas possíveis, você também deve considerar atualizá-los.
À parte, este é mais um prego no caixão do Windows XP...