bg-blog-articles

PCI DSS 3.2: devi abbandonare l’uso di SSL 3.0 e TLS 1.0

Secondo le ultime notizie del settore SSL, la nuova versione PCI DSS 3.2 sarà rilasciata in primavera. Inizialmente la data di rilascio era prevista per l’autunno.

Il PCI Security Standards Council ha rivisto la data di rilascio per includere il periodo prolungato della migrazione SSL 3.0/TLS 1.0 a causa dell’attuale panorama di minacce in espansione.

Ottieni i certificati SSL oggi stesso

PCI DSS 3.2

L’attuale versione di PCI DSS 3.1 è stata la prima a introdurre delle linee guida rigorose che riguardano la migrazione da SSL 3.0 e TLS 1.0. Secondo le linee guida, questi due protocolli non dovranno più essere utilizzati come controllo di sicurezza dopo il 30 giugno 2016. Ciò significa che fino alla data stabilita, tutti i proprietari di siti web che elaborano i dati dei titolari di carta di credito devono disattivare queste versioni del protocollo per essere conformi ai nuovi requisiti. Tuttavia, il PCI Security Standards Council ha modificato questa data nel suo “Bollettino sulla migrazione da SSL e primi TLS” del dicembre 2015, estendendo il periodo fino al 30 giugno 2018. Questa revisione è il risultato di un ampio feedback del mercato da parte dei membri del PCI DSS. Tuttavia, il Consiglio ha espresso con forza che non è consigliabile aspettare fino al 2018. La nuova scadenza sarà inclusa nel documento PCI DSS 3.2, la cui pubblicazione è prevista per marzo o aprile 2016.

Migliorare la sicurezza del sito web

Secondo il bollettino, nel novembre 2015 oltre il 67% dei siti web esaminati presentava una sicurezza inadeguata. Ciò significa che questi siti web sono esposti ad attacchi informatici di alto profilo come “POODLE“, “FREAK“, “BEAST“, “CRIME” o “Heartbleed“, che sfruttano le debolezze dei protocolli SSL 3.0 e TLS 1.0, rilasciati negli anni Novanta.

Risparmia il 10% sui certificati SSL

Questi attacchi informatici consentono agli hacker di eseguire “attacchi man-in-the-middle“, attraverso i quali possono facilmente decriptare i dati sensibili dei titolari di carta o rubare chiavi crittografiche di lunga durata. Le vulnerabilità dei protocolli SSL 3.0 e TLS 1.0 non possono essere risolte. Per questo motivo gli standard PCI DSS impongono la migrazione all’ultima versione dei protocolli TLS: TLS 1.1 e TLS 1.2, rilasciati nel 2006 e nel 2008.

Dopo che Google ha scoperto la vulnerabilità POODLE, sono state adottate diverse misure di protezione per aumentare la sicurezza dei siti web. Innanzitutto, le ultime versioni dei browser più diffusi non supportano più il protocollo SSL 3.0. In secondo luogo, a tutti i webmaster è stato consigliato di disabilitare le opzioni SSL 3.0 e TLS 1.0 dal proprio server. Una volta disattivate queste opzioni, il certificato SSL proteggerà la connessione utilizzando solo le versioni più recenti del protocollo TLS.

Anche se i nuovi requisiti del PCI DSS 3.2 si rivolgono direttamente solo ai proprietari di siti web che si occupano di titolari di carta, pagamenti, dati personali o amministrativi,la raccomandazione di migrare a TLS 1.2 si riferisce a tutti i webmaster. Il numero di violazioni dei dati è in costante aumento e non devi mettere a rischio la sicurezza online e la reputazione della tua azienda utilizzando protocolli di crittografia obsoleti. I certificati SSL disponibili supportano tutti i protocolli, quindi non esitare a proteggere il tuo sito web aggiornandolo a TLS 1.2.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.