Bạn có đang quản lý một trang web thương mại điện tử không? Bạn có cung cấp hình thức thanh toán trực tuyến không? Bạn có lo lắng về việc bị phạt? Nếu câu trả lời cho cả ba câu hỏi là ‘Có’ thì bạn nên tắt TLS 1.0 ngay lập tức. Thời gian để đắn đo về nó đã hết.
Hội đồng tiêu chuẩn bảo mật ngành thẻ thanh toán (PCI SSC) là một cơ quan độc lập được thành lập bởi American Express, Dịch vụ tài chính Discover, JCB International, MasterCard và Visa Inc. vào năm 2006. Cơ quan này được thành lập để bảo vệ dữ liệu của chủ thẻ, yêu cầu cho tất cả các nhà cung cấp chấp nhận thanh toán trực tuyến. Mặc dù các yêu cầu trên không phải là một phần của bất kỳ luật nào nhưng đây là một quy định của tất cả các công ty thanh toán thẻ. Nếu người bán không tuân thủ, họ có thể bị phạt hàng tháng lên tới 100.000 đô la.
PCI DSS v3.1, được xuất bản vào tháng 4 năm 2015 đã có thời hạn đến tháng 6 năm 2016 để chuyển từ phiên bản SSL và TLS ban đầu sang các phiên bản mới hơn, an toàn hơn. Ở đây, “di chuyển từ SSL và TLS cũ” có nghĩa là vô hiệu hóa hỗ trợ cho các phiên bản SSL & TLS cũ hơn. Cuối cùng, thời hạn này đã được kéo dài thêm hai năm và ngày 30 tháng 6 năm 2018 đã được đưa ra hạn chót mới.
PCI DSS v3.2, được xuất bản vào tháng 4 năm 2016 cũng bao gồm thời hạn này.
Tại sao lại có yêu cầu này?
Khi chúng ta lớn lên, chúng ta bắt đầu yếu đi so với ban đầu. Các giao thức bảo mật cũng vậy. Lớp cổng bảo mật (SSL), giao thức mã hóa ban đầu có phiên bản cuối cùng (SSL 3.0) được phát hành vào năm 1999. Do các lỗ hổng được tìm thấy trong các phiên bản SSL, SSL đã sớm được thay thế bằng TLS. Kể từ đó, bốn phiên bản TLS đã được xuất bản với thời gian TLS 1.0 có niên đại từ năm 1999.
Các phiên bản đầu tiên của SSL và TLS rất dễ bị tấn công như Heartbleed, POODLE, BEAST, CRIME và Bleichenbacher — điều này bao gồm TLS 1.0. Một cơ hội như vậy mời gọi tin tặc đánh chặn và làm xáo trộn dữ liệu thẻ tín dụng nhạy cảm của khách hàng – một cuộc tấn công trung gian về mặt kỹ thuật.
Những điều gì sẽ xảy ra?
Bây giờ bạn có thể tự hỏi tại sao chúng ta không chỉ cấm các giao thức đã nói. Nhưng nó không thực tế. Không có một nhà quản lý nào có thể tắt các phiên bản SSL / TLS cũ hơn cho toàn bộ Internet; nó phải được thực hiện trên máy chủ bởi quản trị viên máy chủ.
Nhiều trang web vẫn chạy trên các máy chủ cũ không hỗ trợ các phiên bản TLS mới nhất. Ví dụ, Windows Server 2008 không hỗ trợ TLS 1.1, 1.2 và 1.3. Quản trị viên của các trang web như vậy cần hành động ASAP và di chuyển sang các máy chủ mới hơn. Ngay cả khi bạn đã di chuyển đến một máy chủ mới hơn hoặc đã có một máy chủ, bạn vẫn chưa hoàn thành. Bạn phải tắt hỗ trợ SSL / TLS cũ.
Phiên bản SSL / TLS nào sẽ bị vô hiệu hóa?
Đây là những gì tài liệu từ SSC PCI nói về các phiên bản SSL / TLS bị vô hiệu hóa:
“POI có thể tiếp tục sử dụng SSL / TLS cũ khi có thể thấy rằng POI không dễ bị khai thác hiện tại. Tuy nhiên, SSL là một công nghệ lạc hậu và có thể bị tìm thấy lỗ hổng bất cứ lúc nào; do đó, các môi trường POI nên sử dụng TLS v1.1 hoặc cao hơn bất cứ nơi nào có thể. Việc triển khai POI mới nên xem xét mạnh mẽ hỗ trợ và sử dụng TLS 1.2 trở lên. ”
Nói một cách đơn giản, bạn cần tắt TLS 1.0 và tất cả các phiên bản SSL. Bạn cũng nên vô hiệu hóa TLS 1.1.
–> Giao thức TLS 1.0 và TLS 1.1 sẽ không còn hoạt động trong tương lai