クレジットカード処理におけるTLS 1.0の使用が非推奨に 17
ストーリー by hylom
移行できるのだろうか 部門より
移行できるのだろうか 部門より
あるAnonymous Coward 曰く、
クレジット決済システムにおけるセキュリティ標準を定めるPCI SSCが、SSL 3.0およびTLS 1.0の使用を非推奨に変更した(Migrating from SSL and Early TLS、Qualysのブログ記事)。
新たなシステムではTLS 1.0以下の使用が許可されず、既存のシステムであっても速やかに新しいプロトコルへと移行する必要があるとのこと。これに伴い、QualysのSSL LabsはSSL Server TestにおけるTLS 1.2未対応のペナルティを強化している。
セゾンカード、これは酷い (スコア:4, 興味深い)
各カード会社のログイン画面を調べたところ、セゾンカード [saisoncard.co.jp] が、TLS 1.0 までの対応で、脆弱な SSL 3 も有効という酷い状況でした。
なんとかして下さい中の人。セゾンカード持ってるんですorz
決済システムと同様、カード会社の会員向けページもなんとかして欲しいですね。
Re:セゾンカード、これは酷い (スコア:2)
たとえばセゾンカードでアメックスカードと提携みたいなのは弱い方に合わせているんでしょうかね?
// そう思えたがどっちなんだか正直わからない。
Re: (スコア:0)
インターネット通販会社は既にPCI DSS準拠が義務化されているのに、加盟店やカード会社は2017年度末までPCI DSSに準拠する必要が無いとなると、繋げないケースが出て来る気がします。
PCIDSS準拠は義務か
http://www.nos.co.jp/magazine/img-data/PCIDSS%E6%BA%96%E6%8B%A0%E3%81%... [nos.co.jp]
> 加盟店やカード会社は 2017 年度末(2018 年 3 月末)までに、
> インターネット通販会社は 2012 年度末(2013 年 3 月末)までに、というタイムスケジュールを含めて、
> PCI DSS へ準拠する実行計画
Re:セゾンカード、これは酷い (スコア:2)
セディナと出光が酷かったw
Re:セゾンカード、これは酷い (スコア:1)
あっ、永久不滅ってそういうこと(察し
Re: (スコア:0)
どちらかというといまだにSSL3有効になっているサーバがあるのが気になります
https://www.ssllabs.com/ssltest/analyze.html?d=www.smbc-card.com [ssllabs.com]
(ほかにもあるかも)
日本語解説 (スコア:3, 参考になる)
認定スキャンベンダー(ASV)の一つであるNTTデータ先端技術が日本語解説を出してますね。
既存システムにはまだ余裕があるようですが、新規システムが既にダメというのはちょっと急?
PCI DSS v3.1の公開と変更点の概要
http://www.intellilink.co.jp/article/pcidss/16.html [intellilink.co.jp]
> ・SSLおよび初期のTLSは、2016年6月30日以降、クレジットカードを保護するセキュリティ対策として使用することはできない。
> ・2016年6月30日までは、SSLおよびTLSの初期のバージョンを実装したシステムを持つ組織は、リスク低減計画および移行計画を作成することで、適合と認められる。(ASVに提出することで、ASVスキャンレポートも例外として認められる。)
> リスク低減計画は、別途PCI SSCから公開されている「Information Supplement: Migration from SSL and Early TLS」に沿ったものであることが推奨される。
> ・新しく実装する場合は、SSLのすべてのバージョン、およびTLSの初期のバージョンを使用してはならない。
> ・SSLおよび初期のTLSに対する既知のすべての脆弱性に対する攻撃の影響を受けないことが確認できるPOS、POIデバイスは、2016年6月30日以降もセキュリティコントロールとして、これらのプロトコルを使用することができる。
Re: (スコア:0)
そういえば少し前、日本の某ウェブシステムにいきなりつながらなくなったPC(Windows7)があって。
で、インターネットオプションを調べてみたら、TLS1.2の使用がオンになってなかった。
名前解決で失敗したかのようなエラーメッセージが出るので、ちょっと注意が必要かも。
ガラケー終了のお知らせがまた一つ (スコア:3, 興味深い)
従来のガラケーはみなTLS1.0止まりなので、ネット通販やネットバンキングがガラケー対応を打ち切るきっかけになりそうですな。
Re:ガラケー終了のお知らせがまた一つ (スコア:1)
いえいえスマホも標準ブラウザでは終了のようですよ
最新ではTLS 1.2に対応しているようですが
実装の問題かLogjamの影響を受けてしまうようです
ウェブブラウザにおけるTLS/SSLの対応状況の変化 [wikipedia.org]
ただしAndroidもiPhoneも
Google ChromeやFirefoxなどの
サードパーティ ブラウザの最新版を使えれば
TLS 1.2において脆弱性の影響を受けないようです。
Re:ガラケー終了のお知らせがまた一つ (スコア:1)
> Google ChromeやFirefoxなどの
> サードパーティ ブラウザの最新版を使えれば
> TLS 1.2において脆弱性の影響を受けないようです。
リンク先をよくご覧いただけばわかりますが、ChromeもFirefoxも現時点で修正されたのはプレリリース版のみです。最新安定版はどちらもLogjamに脆弱です。Firefoxの回避策は、修正版がリリースされるまでDisable DHE [mozilla.org]アドオンをインストールすることです。
TLS1.0もか (スコア:0)
これは広範囲に影響が出るんじゃないか
Re: (スコア:0)
SSL 3.0に深刻な脆弱性が見つかる [security.srad.jp]の時では
アマゾンはTLS1.2まで対応→継続
楽天とミカカはTLS1.0まで対応→TLS1.2まで対応
日本勢頑張ってる
経緯 (スコア:0)
・PCI DSSの基準では、NVD [nist.gov]でCVSS v2 Base Score 4以上の脆弱性がある暗号は原則として安全でないとしている。
・CVE-2011-3389 [nist.gov] (通称BEAST)がCVSS v2 Base Score 4.3を獲得したので、TLS 1.0でCBCのブロックモード暗号を使えなくなった。今でも銀行やクレジットカード会社のサイトでRC4しか有効にしていないところがあるのは主にこのせい。
・CVE-2015-2808 [nist.gov]でRC4に対する攻撃(通称Bar Mitzvah attack)もCVSS v2 Base Score 4.3をマークしたので、RC4も使えなくなった。TLS 1.0で定義されている暗号はCBCモードのブロック暗号とRC4しかないので、TLS 1.0では使用可能な暗号がなくなった。
・上記を受けて、TLS 1.0を使用禁止するようPCS DSSが改定された。
んー、ネタがちょっと古くない? (スコア:0)
PCI DSS 3.1で非推奨となるだけで、PCI DSS3.0以前で認定取っていればTSL 1.0でもおかしくないハズなんだけどな。ダメになるのは一年後の話だし(「SSL and early TLS are not considered strong cryptography and cannot be used as a security control after 30th June, 2016.」と書いてあります)。
まあ、ネットアンサーだけでなく、アットユーネット(UCブランドの方)もSSL3.0/TSL1.0禁止にするとアクセスできないのは閉口。
Re: (スコア:0)
一度認定を取ったとしても、「四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る [jcdsc.org]」必要があります。TLS 1.0の継続使用は、未対応の警告を受けた上で、「リスク低減計画および移行計画」を作成することでのみ、可能です。
Re: (スコア:0)
なお、「リスク低減計画および移行計画」の作成に使うことのできる英語版テンプレートはここにあります。参考になるでしょう。
PCI 3.1 Risk Plan Template
https://www.trustwave.com/Resources/Library/Documents/PCI-3-1-Risk-Pla... [trustwave.com]