11 февраля 2016, 13:51
Количество просмотров 160

Отсрочка официального запрета на использование SSL и TLS 1.0 на два года

В апреле 2015 года Совет PCI SSC опубликовал документ с названием «Migratingfrom SSL andearly TLS», в котором было сказано, что все организации должны как...
Отсрочка официального запрета на использование SSL и TLS 1.0 на два года

В апреле 2015 года Совет PCI SSC опубликовал документ с названием «Migratingfrom SSL andearly TLS», в котором было сказано, что все организации должны как можно раньше, не позднее 30 июня 2016 года, отказаться от использования небезопасных версий протоколов SSL и TLS 1.0 в пользу TLS 1.1 и TLS 1.2.

При этом Совет PCI SSC выпустил внеплановую версию стандарта PCI DSS 3.1. Эти изменения появились после того, как NIST признал протоколы SSL и TLS 1.0 небезопасными. Однако 18 декабря 2015 в свет вышел бюллетень (www.pcisecuritystandards.org/pdfs/ Migrating_from_SSL_and_Early_TLS_-v12. pdf) Совета PCI SSC, в котором появилась одна очень важная новость: крайний срок перехода на безопасные версии протокола перенесли на 30 июня 2018 года.

При этом отмечается, что тянуть до 2018 года не рекомендуется. Совет PCI SSC по-прежнему рекомендует переходить на безопасные версии протоколов как можно раньше. Поэтому, согласно бюллетеню, все эквайеры, процессинги, платежные шлюзы и поставщики услуг должны обеспечить поддержку TLS версии 1.1 (или выше) не позднее июня 2016 года. Все новые информационные системы, вводимые в эксплуатацию, должны поддерживать только безопасные конфигурации TLS 1.1 или 1.2 (рекомендуется). А уже к июню 2018 года абсолютно все игроки платежной индустрии должны поддерживать только безопасные (с точки зрения NIST) протоколы. Как и ранее в апреле, в декабре тоже не обошлось без исключений. POS- и POIустройства, для которых есть подтверждение того, что они не подвержены эксплуатации известных уязвимостей в части протоколов SSL и TLS, могут использовать такие протоколы и после 2018 года. Но при этом использовать криптографически нестойкие алгоритмы (например, RC4 или MD5) запрещено.

Так же, как и ранее, если мгновенного перехода на безопасные версии протокола TLS достичь до сертификационного QSAаудита организации не удается, то необходимо составить План перехода. В нем нужно указать как минимум следующее:

• крайний срок обновления – 30 июня 2018 года;
• описание того, как и где используются уязвимые протоколы;
• оценку рисков информационной безопасности;
• описание методов, направленных на снижение рисков информационной безопасности от возможной эксплуатации уязвимостей небезопасных протоколов;
• описание процессов отслеживания новых уязвимостей, связанных с протоколами;
• описание процессов отслеживания того, чтобы в новых системах, вводимых в эксплуатацию, не использовались уязвимые протоколы SSL и TLSv1.0.

Петр Шаповалов, инженер по защите информации, QSA-аудитор компании Deiteriy, в комментарии порталу PLUSworld. ru: «Не секрет, что поставщики услуг (например, платежные шлюзы, эквайеры и процессинги) в платежной индустрии обслуживают на сегодняшний день торгово-сервисные предприятия по разным протоколам SSL и TLS. В силу того, что сейчас мгновенно отказаться от небезопасных версий протоколов получится не у всех, время на переход действительно необходимо. 2015 год – это год, когда Совет PCI SSC собирает обратную связь от игроков платежной индустрии. По словам Стивена Орфея (генерального директора Совета PCI SSC), в ходе сбора обратной связи было установлено, что в силу сложности глобальной платежной экосистемы, связанной с требованиями о переходе на безопасные версии протоколов шифрования каналов связи, расширением бизнеса в мобильной коммерции и обновлением браузеров в связи с признанием NIST алгоритма хеширования SHA-1 непригодным для электронной подписи, времени до 30 июня 2016 года может не хватить. Поэтому Совет PCI SSC решил перенести крайний срок обновления протоколов на 30 июня 2018 года. И, на мой взгляд, это правильно. Ведь сейчас далеко не все клиентские технологии (браузеры, мобильные платформы), сетевые устройства поддерживают безопасные версии протокола TLS. Нужно время, чтобы вендоры программных и аппаратных средств смогли обновить свои продукты.

Читайте также:
Отсрочка официального запрета на использование SSL и TLS 1.0 на два года - рис.1

Увеличение времени, отведенного на переход, не означает, что стоит откладывать это на последний момент. Всем игрокам платежной индустрии рекомендуется составить план перехода на безопасные протоколы и строго ему следовать. Это позволит своевременно и эффективно организовать защиту информационной инфраструктуры от атак злоумышленников. Также рекомендуется участникам индустрии организовать информирование клиентов о планируемом отключении небезопасных протоколов и советовать им заранее обновить свои программные и аппаратные средства. Например, можно автоматически анализировать User-Agent и, если он устаревший и поддерживает только небезопасные протоколы, выводить информационное сообщение».

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube