Bei dem von Netscape entwickelten Secure Socket Layer (SSL) Protokoll und dem von der Internet Engineering Taskforce (IETF) standardisierten Transport Layer Security (TLS) Protokoll handelt es sich um Verschlüsselungsprotokolle, die Authentifizierung und Datenverschlüsselung bieten. Das in den frühen 1990er-Jahren entwickelte SSL ist der Vorläufer von TLS und erlebte während der letzten Jahre mehrere Revisionen, um Sicherheitslücken zu beseitigen und stärkere, sicherere Cipher Suites und Algorithmen zu unterstützen. Zu den bedeutendsten gehören SSL 3.0 (1996), TLS 1.0 (1999), TLS 1.1 (2006) und TLS 1.2 (2008).
Viele Organisationen nutzen heutzutage noch die frühen Versionen des Protokolls (<TLS 1.1). Bisher verlangte der PCI DSS in diesem Fall für die betroffenen Anforderungen eine „Risk Mitigation“ und einen „Migration Plan“ von den Organisationen, um die PCI DSS Compliance zu erhalten. Dabei handelt es sich um die folgenden Anforderungen:
| Requirement 2.2.3 | Implement additional security features for any required services, protocols, or daemons that are considered to be insecure. |
| Requirement 2.3 | Encrypt all non-console administrative access using strong cryptography. |
| Requirement 4.1 | Use strong cryptography and security protocols to safeguard sensitive cardholder data during transmission over open, public Networks. |
Das PCI SSC (Security Standards Council) hat den 30. Juni 2018 als Deadline gesetzt, nach deren Ablauf KEINE der frühen Versionen des Protokolls mehr im Kontext der oben genannten Anforderungen im Einsatz sein dürfen, um PCI DSS konform zu sein. Dies betrifft alle Versionen vor TLS 1.1.
Damit will das PCI SSC gegen bekannte Exploits wie POODLE oder BEAST vorgehen, die Schwachstellen in den frühen Protokollversionen ausnutzen.
Einzig Zahlterminals (sog. Point of Interaction (POI) Terminals) können diese Regelung umgehen, indem sie nachweisen, dass die eingesetzten Terminals inklusive der Terminierungspunkte, mit denen sich diese verbinden, nicht anfällig für bekannte Exploits sind.
(Quelle: https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls)
Über die PCI Expert Tipps:
Mit den PCI Expert Tipps möchten wir Sie über Neuerungen der PCI Security Standards informieren und Ihnen erste Hinweise geben, wie sie zu verstehen sind und welche Auswirkungen sie haben können. Unsere Artikel sind dabei immer nur als allgemeine Richtschnur zu verstehen, sie ersetzen nicht die individuelle Betrachtung im Einzelfall.
Sollten Sie weitere Fragen haben oder Unterstützung bei der Scope Definition benötigen, sprechen Sie uns an. Unsere Experten helfen Ihnen gerne weiter,
+49 6102 8631-190
vertrieb@usd.de
