Últimos días para SSL y TLS tempranas

A2Secure

Desde hace algunos años, nos hemos acostumbrado a no perder de vista nuestra tarjeta cuando pagamos en restaurantes, comercios, etc. ya que entendemos como posible que personas malintencionadas puedan robarnos nuestros datos.

Lo mismo pasa en el mundo de las compras online; cada vez más usuarios finales comprobamos que las conexiones sean seguras cuando queremos comprar por internet (HTTPS – Hypertext Transport Protocol Secure) ya que nos han dicho que, si no lo son, personas malitencionadas podrían interceptar y/o desviar nuestros datos mientras están en tránsito.

Sin embargo, y desde el punto de vista del comercio que ofrece sus productos a través de internet, hoy en día no es suficiente revisar que la conexión se realice a través de HTTPS ya que los protocolos de cifrado del canal de transmisión también van siendo vulnerados.

Con el objetivo de asegurar que ningún comercio electrónico mantiene protocolos de cifrado de canal inseguros, el PCI Council lleva algunos años promoviendo el desuso de SSL/TLS tempranas a través de la normativa PCI-DSS. Hasta el día de hoy, era posible certificarse con PCI-DSS utilizando estas versiones definiendo, eso sí, controles compensatorios que redujeran el riesgo. Sin embargo, a partir del 30 de junio de 2018, no será posible certificar conexiones con protocolos inferiores a TLS 1.1:

Después del 30 de junio de 2018, todas las entidades deberán haber dejado de usar la SSL/TLS temprana como un control de seguridad, y usar solo las versiones seguras del protocolo

Conociendo las complicaciones que esta imposición del PCI Council puede suponer para algunos comercios, desde A2Secure recomendamos las siguientes best practices:

  • Identificar si nuestros clientes utilizan navegadores no compatibles con versiones TLS 1.1 o superiores
  • Identificar todos los canales de entrada de datos de tarjeta (todas las conexiones públicas con estos tendrán que ir cifradas)
  • Configurar los sistemas de forma segura utilizando guías de bastionado que sigan las mejores prácticas de la industria
  • Asegurar que, a pesar de que las conexiones por defecto se realicen con TLS 1.1 o superiores, nuestro servicio no permite la negociación con el navegador del cliente para rebajar el protocolo de cifrado.
  Monitorización de eventos de seguridad

Finalmente, y como dicen que una imagen vale más que mil palabras, nos quedamos con el siguiente mensaje de la web del PCI Council:

ssl-y-tls

Leave a Comment