Diga adeus ao SSL e versões antigas do TLS

Por Carlos Caetano, Associate Regional Director do Brazil (PCI Security Standards Council)

Você está pronto para 30 de Junho de 2018 ? Diga adeus ao SSL e versões antigas do TLS

A sua organização ainda usa os protocolos SSL ou versões antigas do TLS? Você trabalha com parceiros ou clientes online ou com comércio eletrônico que ainda não iniciou a migração do SSL ou versões antigas do TLS para um protocolo de criptografia mais seguro? Leia este artigo para perguntas chaves e respostas que podem ajudá-lo a dizer adeus ao SSL e versões antigas do TLS e reduzir o risco de sofrer um comprometimento de dados.

O que acontece em 30 de Junho de 2018?

30 de Junho de 2018 é a data limite para desabilitar o SSL e versões antigas do TLS, e implementar um protocolo de criptografia mais seguro – TLS 1.1 ou superior (TLS v1.2 é fortemente recomendado) de forma a atender o PCI Data Security Standards (PCI DSS) para proteger os dados de pagamento.

O que é o SSL ou versões antigas do TLS?

Transport Layer Security (TLS) é um protocolo de criptografia usado para estabelecer um canal de comunicação seguro entre dois sistemas. É usado para autenticar um ou ambos os sistemas, e proteger a confidencialidade e integridade da informação que passa entre os sistemas. Foi desenvolvido originalmente como Secure Sockets Layer (SSL) pela Netscape no início dos anos 90. Padronizado pelo Internet Engineering Taskforce (IETF), o TLS passou por várias revisões para melhorar a segurança para bloquear ataques conhecidos e adicionar suporte a novos algoritmos de criptografia, com grandes revisões ao SSL 3.0 em 1996, TLS 1.0 em 1990, TLS 1.1 em 2006 e TLS 1.2 em 2008.

Qual o risco de usar o SSL ou versões antigas do TLS?

Existem várias vulnerabilidades sérias no SSL e versões antigas do TLS que se não endereçadas deixam as organizações em risco de um comprometimento de dados. A difusão generalizada dos exploits POODLE e Heartbleed são apenas alguns exemplos de como os atacantes tomaram vantagem das fraquezas no SSL e versões antigas do TLS para comprometer organizações.

De acordo com o NIST, não existem concertos ou atualizações adequadas que possam reparar o SSL ou versões antigas do TLS. Assim sendo, é de crítica importância que as organizações atualizem para uma alternativa segura o mais rápido possível, e desabilitem qualquer retorno a ambos SSL e versões antigas do TLS.

Quem está mais suscetível as vulnerabilidades do SSL e versões antigas do TLS?

Ambientes online e de comércio eletrônico usando SSL e versões antigas do TLS são mais suscetíveis aos exploits SSL, mas a data de migração de 30 de Junho de 2018 se aplica a todos os ambientes, exceto para terminais de pagamento (POIs) (e os pontos de terminação SSL/TLS com os quais se conectam) que podem ser verificados como não sendo suscetíveis a qualquer exploit conhecido para SSL e versões antigas do TLS.

Existe alguma consideração para os terminais de pagamento (POIs)?

Uma vez que os POIs podem não ser suscetíveis as mesmas vulnerabilidades conhecidas para os sistemas baseados em browser, depois de 30 de Junho de 2018, os dispositivos POI (e os pontos de terminação com os quais se conectam) que possam ser verificados como não suscetíveis a quaisquer dos exploits conhecidos para SSL e versões antigas do TLS podem continuar a usar o SSL e versões antigas do TLS.

Se o SSL ou versões antigas do TLS são usados, os POIs e seus pontos de terminação devem ter as últimas atualizações instaladas, e garantir que apenas as extensões necessárias estão habilitadas.

Adicionalmente, o uso de cipher suites fracos ou algoritmos não aprovados – p.e. RC4, MD5, e outros – não é permitido.

O que as organizações deve fazer se o seu scan ASV identificar a presença de SSL e o scan falhar?

Entre hoje e 30 de Junho de 2018, as organizações que não completaram o seu plano de migração devem providenciar ao Approved Scanning Vendor (ASV) uma documentação que confirma que eles implementaram um Plano de Mitigação de Risco e Migração (veja o documento Migrating from SSL/Early TLS para mais informação sobre isto) e estão trabalhando para completar a sua migração até a data requerida. O recebimento desta confirmação deve ser documentado pelo ASV como uma exceção na seção “Exceptions, False Positives, or Compensating Controls” do Resumo do Relatório Executivo do Scan ASV (ASV Scan Report Executive Summary).

O que as organizações podem e devem fazer agora para se protegerem contra vulnerabilidades do SSL e versões antigas do TLS?

Enquanto 30 de Junho de 2018 ainda está a um ano de distância, toma-se tempo para migrar para protocolos mais seguros, e as organizações não devem atrasar:

· Migrar para no mínimo TLS 1.1, preferencialmente TLS 1.2. Mesmo que seja possível implementar contramedidas para alguns ataques no TLS, migrar para a última versão do TLS (TLS 1.2 é fortemente recomendado) é o único método confiável de proteger-se contra as vulnerabilidades atuais dos protocolos.

· Atualizar o software TLS contra vulnerabilidades de implementação. Vulnerabilidades de implementação, como o Heartbleed no OpenSSL, podem representar sérios riscos. Mantenha o software TLS atualizado para garantir que esteja corrigido contra estas vulnerabilidades, e tenha contramedidas para outros ataques.

· Configure o TLS de forma segura. Adicionalmente a prover suporte para as últimas versões do TLS, garanta que a implementação é configurada de forma segura. Garanta que cipher suites TLS e tamanhos de chaves seguros são suportados, e desabilite outros cipher suits que não são necessários para interoperabilidade. Por exemplo, desabilite o suporte para criprografia “Export-Grade” fraca, que foi a fonte da recente vulnerabilidade Logjam.

· Use os recursos do PCI SSC. Visite o site do PCI SSC para obter os recursos que podem ajudar com a migração do SSL e versões antigas do TLS, incluindo guias detalhados, um webinário e um número de FAQs.

Com a data limite de 30 de Junho de 2018 a apenas um ano de distância, a migração do SSL e versões antigas do TLS e segurança do e-commerce serão tópicos importantes discutidos no próximo Fórum da América Latina do PCI Security Standards Council em São Paulo no dia 9 de Agosto de 2017. Para mais informações, visite o site https://events.pcisecuritystandards.org/brazil-2017/.