PCI DSS 3.2: Sie sollten SSL 3.0 und TLS 1.0 nicht mehr verwenden

Nach den neuesten Nachrichten aus der SSL-Branche wird das neue Die Version PCI DSS  3.2 wird in diesem Frühjahr veröffentlicht. Ursprünglich war die Veröffentlichung unter für den Herbst geplant.

Der PCI Security Standards Council hat das Veröffentlichungsdatum überarbeitet, um den verlängerten Zeitraum der SSL 3.0/TLS 1.0-Migration aufgrund der sich ausweitenden Bedrohungslandschaft zu berücksichtigen.

PCI DSS 3.2

Die aktuelle Version von PCI DSS 3.1 war die erste, die die strengen Richtlinien für die Migration von SSL 3.0 und TLS 1.0 einführte. Demnach sollten diese beiden Protokolle “nach dem 30. Juni 2016 nicht mehr als Sicherheitskontrolle verwendet werden”. Das bedeutet, dass bis zu dem festgelegten Datum alle Inhaber von Websites, die Daten von Karteninhabern verarbeiten, diese Protokollversionen deaktivieren sollten, um den neuen Anforderungen zu genügen. Der PCI Security Standards Council hat dieses Datum jedoch in seinem “Bulletin on Migrating from SSL and Early TLS” vom Dezember 2015 geändert und den Zeitraum bis zum 30. Juni 2018 verlängert. Diese Überarbeitung ist das Ergebnis umfangreicher Rückmeldungen der PCI DSS-Mitglieder aus dem Markt. Der Rat hat jedoch nachdrücklich darauf hingewiesen, dass es nicht empfehlenswert ist, bis 2018 zu warten. Die neue Frist wird in den PCI DSS 3.2 aufgenommen, der im März oder April 2016 veröffentlicht werden soll.

Verbesserung der Sicherheit der Website

Dem Bulletin zufolge waren im November 2015 über 67 % der untersuchten Websites unzureichend gesichert. Dies bedeutet, dass diese Websites hochkarätigen Cyberangriffen wie “POODLE“, “FREAK“, “BEAST“, “CRIME” oder “Heartbleed” ausgesetzt sind, die die Schwachstellen der in den neunziger Jahren veröffentlichten Protokolle SSL 3.0 und TLS 1.0 ausnutzen. Diese Cyberangriffe ermöglichen es Hackern, “Man-in-the-Middle-Angriffe” durchzuführen, durch die sie leicht sensible Karteninhaberdaten entschlüsseln oder langlebige kryptografische Schlüssel stehlen können. Die Sicherheitslücken der Protokolle SSL 3.0 und TLS 1.0 können nicht behoben werden. Aus diesem Grund schreibt der PCI DSS die Umstellung auf die neueste Version der TLS-Protokolle vor: TLS 1.1 und TLS 1.2, die in den Jahren 2006 und 2008 veröffentlicht wurden.

Nachdem Google die POODLE-Schwachstelle entdeckt hatte, wurden verschiedene Schutzmaßnahmen ergriffen, um die Sicherheit von Websites zu erhöhen. Zunächst einmal unterstützen die neuesten Versionen der gängigsten Browser SSL 3.0 nicht mehr. Zweitens wurde allen Webmastern geraten, die Optionen SSL 3.0 und TLS 1.0 auf ihren Servern zu deaktivieren. Wenn diese Optionen deaktiviert sind, schützt das SSL-Zertifikat die Verbindung, indem es nur die neuesten Versionen des TLS-Protokolls verwendet.

Auch wenn sich die neuen Anforderungen des PCI DSS 3.2 direkt nur an Website-Betreiber richten, die mit Karteninhaber-, Zahlungs-, Personen- oder Verwaltungsdaten zu tun haben, giltdie Empfehlung, auf TLS 1.2 umzusteigen, für alle Website-Betreiber. Die Zahl der Datenschutzverletzungen nimmt ständig zu, und Sie sollten die Online-Sicherheit und den Ruf Ihres Unternehmens nicht durch die Verwendung veralteter Verschlüsselungsprotokolle riskieren. Die verfügbaren SSL-Zertifikate unterstützen alle Protokolle, zögern Sie also nicht, Ihre Website durch ein Update auf TLS 1.2 zu schützen.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.