Нам нужно будет пройти аудит PCI 3.1 для веб-приложения, которое мы сейчас разрабатываем. Это на Amazon EC2 под управлением NGINX под Debian.
Мы связываемся с Symantec для получения сертификатов, и нас особенно интересуют Secure Site Pro с EV one и Wildcard (у нас был бы один сервер с динамическими именами субдоменов, и поэтому мы думаем о том, что )
Я просто хотел убедиться, что не собираюсь тратить тысячи долларов и обнаруживать, что они не подходят для PCI 3.1 или что кто-то, объединяющий NGINX и Debian, не будет работать с этими типами сертификатов.
Есть ли у кого-нибудь опыт попытки соответствовать требованиям PCI-DSS 3.1, который может дать совет относительно того, какие SSL-сертификаты мы должны получить?
TL; DR: PCI-DSS 3.1 вступает в силу немедленно, но требование об отключении TLS 1.0 и SSL 3 вступает в силу после 30 июня 2016 года.
В большинстве случаев вы уже должны были отключить SSL 3 месяца назад или более для уязвимости POODLE. Так что это не проблема.
Интересная часть этого требования - невозможность использовать TLS 1.0.
Официальное слово:
SSL и ранний TLS не считаются надежной криптографией и не могут использоваться в качестве контроля безопасности после 30 июня 2016 года. До этой даты существующие реализации, использующие SSL и / или ранний TLS, должны иметь формальный план снижения рисков и миграции. Сразу же вступает в силу, новые реализации не должны использовать SSL или ранний TLS. Терминалы POS POI (и точки завершения SSL / TLS, к которым они подключаются), которые могут быть проверены как не подверженные каким-либо известным эксплойтам для SSL и раннего TLS, могут продолжать использовать их в качестве средства контроля безопасности после 30 июня 2016 года.
- Переход с SSL и раннего TLS, Информационное дополнение PCI-DSS
Где «ранний TLS» определяется как TLS 1.0. Разрешены только TLS 1.1 и 1.2, и настоятельно рекомендуется 1.2.
Хотя вам по-прежнему будет разрешено использовать TLS 1.0 и SSL 3 для кассовых устройств и их серверных частей, при условии, что вы сможете доказать, что вы устранили все возможные проблемы, вам также следует серьезно подумать об их обновлении.
Кстати, это еще один гвоздь в гроб Windows XP ...
Предостережение: мне никогда не приходилось проходить сертификацию PCI. Это основано на моем исследовании по этой теме для вашего вопроса.
Похоже, что основное различие между PCI3.0 и PCI3.1 в том, что 3.1 требует TLS1.1
или выше. Невозможно использовать SSL3 или TLS1.0. Видеть http://www.infosecurity-magazine.com/news/pci-dss-31-forces-move-from-ssl-to/ Хотя кое-где даже упоминают, что TLS1.1 не разрешен. Однако, имея только TLS1.2, вы отключите потенциально очень большое количество посетителей, таких как Android ниже 4.4 и все IE ниже 11. Если это приемлемо для вашего бизнеса, сделайте это.
Кроме того, похоже, что сертификаты EV явно не требуются. Они полезны для распознавания сайтов, чтобы предотвратить фишинг, но это не строгое требование для PCI.
Я также не вижу ничего, что запрещало бы сертификаты с подстановочными знаками.
Вы можете получить любой сертификат с подстановочными знаками, если его цепочка доверия является частью браузера вашего посетителя. Это не обязательно должен быть сертификат EV и не обязательно от Symantec.
Важная часть вашей настройки - убедиться, что ваш Nginx или другое программное и аппаратное обеспечение с завершающей передачей SSL использует правильные настройки шифрования. Mozilla создала красивую страницу, которая позволяет вам выбирать компоненты и их версии, и генерирует для вас конфигурацию «лучших практик». Видеть https://mozilla.github.io/server-side-tls/ssl-config-generator/ и https://wiki.mozilla.org/Security/Server_Side_TLS