web-dev-qa-db-ja.com

PCIコンプライアンススキャンがTLS 1.0のサポートに失敗しましたが、サポートが削除されます<IE 10

私の会社はこのメッセージを受け取っており、TrustKeeper PCIコンプライアンススキャンに失敗しています。

お客様をスキャンする際の注意:この脆弱性はNational Vulnerability Databaseでは認識されていません。 TLS v1.0はPCI DSSに違反しており、自動障害状態と見なされます。

によると: http://en.wikipedia.org/wiki/Transport_Layer_Security

TLS 1.1はIE10ではデフォルトで無効になっており、古いバージョンではまったく使用できません。適切なサイズのIE対象ユーザーがいます。

これは、TLS 1.1が有効になっていないか、まったくサポートされていないすべてのユーザーが、この変更を行うとWebサイトを使用できなくなることを意味しますか?これはとても早いようです。何か不足していますか?すべてのトラフィックはロードバランサーを介して提供されますが、TLS 1.1をサポートしていない人に何らかのメッセージを表示することは可能ですか?

tlspci-dss
22
sam_so

ショートバージョン:

ロングバージョン:

PCI DSS 3.1は2015年4月14日に2週間前にリリースされました。

SSLと初期のTLSは強力な暗号化とは見なされず、2016年6月30日以降はセキュリティ制御として使用できません。

2015年12月 既存のアプリケーションを移行する日付は2年間延期されました

Payment Card Industry Security Standards Council(PCI SSC)は、SSLおよびTLS 1.0からTLSの安全なバージョン(現在はv1.1以降)に移行するために、移行完了日を2018年6月30日に延長しています。

2015年12月の時点でPCI SSCによって提供されたこれらの日付は、PCIデータセキュリティ基準v3.1(DSS 3.1)と2015年4月のSSLからの移行および初期のTLS情報補足の両方で発行された元の日付に優先します。

私が理解しているように、「新しいアプリケーション」は、1.1 +の新しい要件に沿って実装する必要があります。この拡張機能は、2015年4月より前にTLS 1.0を使用していた既存のアプリケーションにのみ適用されます。

「初期のTLS」の意味の定義は、QSAの間で魅力的な議論の対象となっていますが、1.0がその一部であると言っても安全です(そして1.1はありますか?可能性があります!待って調べてください!)。 (更新-2015年12月現在、1.1はまだ「安全」です)

TrustWaveがこれらのガイドラインを実装していると言うのは次のとおりです。

  • 新しい実装では、SSLおよび初期のTLSの代替を使用する必要があります。
  • SSLと初期TLSの既存の実装を持つ組織は、リスクの軽減と移行計画を実施している必要があります。
  • 2016年6月30日より前は、承認済みスキャンベンダー(ASV)は、ASVスキャンレポートの例外として、組織のリスク軽減と移行計画の受領を(ASVプログラムガイドに従って)文書化する場合があります。
  • SSLおよび初期のTLSの既知のすべてのエクスプロイトの影響を受けないことが確認できるPoint of Sale(POS)またはPoint of Interaction(POI)デバイスは、2016年6月30日以降、これらのプロトコルをセキュリティ制御として引き続き使用できます。

そのため、それが新しいアプリケーションの場合は、TLS 1.0サポートを削除する必要があるかもしれません。そうでない場合は、TrustWaveをプッシュバックし、TrustWaveが必要とする「リスクの軽減と移行の計画」の種類を調べます。

(@ mti2935からのリンクをコメントから引き上げて、ここに Trustwaveのリスク計画テンプレート があります。@ mti2935に感謝します!)

21
gowenfawr

PCI DSSはTLSv1.0を禁止します。エンドユーザーにメッセージを表示することはTLSv1を完了する必要があるため、PCI DSSに違反せずにTLSv1.0ユーザーにメッセージを表示することはできません。 0ネゴシエーション。技術的には、TLSv1.0のSSL環境変数をチェックし、その場合はエラーメッセージを表示するようにサーバー側スクリプトを構成できますが、PCI DSSごとに許可されていません。

クレジットカードのデータを受け入れる目的で交渉を終えても、「ブラウザをアップグレードしてください」というメッセージを表示する目的で交渉を終えてもかまいません。 SSv2、SSLv3、またはTLSv1.0を単に受け入れるか提供することは、まったく禁止されています。

PCI DSSスキャンは自動化されており、ネゴシエーション状態で失敗するため、TLSv1.0接続の検出時にHTTP 403をプッシュしても問題ありません。

ただし、IE10のユーザーは非常に少ないと言えます。 IE10は古いWindows 7メディアに同梱されており、ほとんどの場合、Windows Updateによって自動的にアップグレードされます。苦労しているユーザーは、Windows XPのIE8と、Vistaで最大のIE9です。 Windows 7以降のものにはIE11があります。

5
sebastian nielsen

Http側でチェックを実行します。

最初のサイト

http://secure.example.com

これはブラウザをチェックし、サポートがない場合はエラーをスローします。それ以外の場合は、安全なサイトにリダイレクトします。

2番目のサイト

https://secure.example.com

2番目のサイトは、必要なものをサポートするPCIサーバーです。それはあなたがスキャンするものです。

ユーザーがこのサイトに直接アクセスすると、セッションは失敗します。ユーザーにフィードバックを提供するためにできることはあまりありません。すべてのリンクでユーザーが http://secure.example.com を参照していることを確認してください。

チャレンジ

ユーザーが何らかの方法で安全なサイトへのリンクをコピー/貼り付けしても、通知は届きません。ただし、セキュリティで保護された領域に正常に移動する場合、問題はありません。

0
Jonathan