Blog

19. April 2018

TLS 1.0 gefährdet PCI-DSS-Compliance

TLS 1.0 gefährdet PCI-DSS Compliance

Der Rat der Payment Card Industry (PCI) hat entschieden, dass das frühe SSL-Protokoll, TLS 1.0, nicht länger sicher genug ist. Deadline ist der 30.06.2018: Alle Webseiten, die nach diesem Stichtag noch über TLS 1.0 verschlüsselt werden, sind nicht mehr PCI-DSS-konform.

Einige Auditoren fordern jedoch jetzt schon die Deaktivierung von TLS 1.0. Über das Managed Center von maxcluster ist dies schnell getan. Vorher sollten jedoch einige Risiken betrachtet werden.

Mit nur einem Klick in unserem Managed Center unterstützen wir Sie dabei, auch weiterhin PCI-DSS-konform zu sein.

Betroffen sind eCommerce-Webseiten, die Kreditkartentransaktionen abwickeln und PCI-konform sein müssen. Das PCI SSC (Security Standards Council) reagierte mit seiner Forderung, die frühen SSL-Protokolle nicht mehr einzusetzen, auf eine Alarmierung des US-Cert, dem US-amerikanischen Computer Emergency Readiness Team. Das US-Cert gab bereits 2015 den Alert TA15-120A heraus. Mit der Änderung des Sicherheitsstandards geht das PCI-SSC nun entschieden gegen Exploits wie z.B. POODLE oder BEAST vor. Diese Exploits nutzen systematisch die Schwachstellen der frühen SSL-Protokolle, um sich Zugang zu Ihrer Website zu verschaffen.

Der Compliance-Bann gilt für alle frühen Verschlüsselungsprotokolle vor der Version TLS 1.1. Stattdessen sollte nun TLS 1.1 oder höher eingesetzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht noch einen Schritt weiter und warnt auch vor der Verwendung von TLS 1.1. Allerdings teilen wir diese Empfehlung nicht. Zur Umsetzungsproblematik der BSI-Empfehlung siehe Heise-Artikel: Das BSI und der Elfenbeinturm.

Wie lässt sich TLS 1.0 für Ihre Website deaktivieren?

Mit der Deaktivierung von TLS 1.0 stellen Sie zwar sicher, dass Ihre Website nur noch über sichere Verbindungen angesprochen werden kann. Im Umkehrschluss bedeutet dies aber auch, dass alle Clients, die ausschließlich TLS 1.0 nutzen, vom Zugriff auf Ihre Website ausgeschlossen werden. Deshalb sollten Sie vorab prüfen, welche unter Umständen für Sie wichtigen Clients vom Ausschluss betroffen sind. Aufgrund dieser individuellen Risiken, auf die wir weiter unten detaillierter eingehen, können wir die Deaktivierung der Version 1.0 nicht zentral für alle Kunden gleichermaßen durchführen.

Standardmäßig haben wir für alle Webserver TLS 1.1 und TLS 1.2 aktiviert. Diese sicheren Versionen lassen sich nicht deaktivieren. Die Version TLS 1.0 hingegen, kann in unserem Managed Center unter dem Menüpunkt des entsprechenden Webservers (Apache oder NGINX) von Ihnen selbst nach Wunsch aktiviert und deaktiviert werden.

TLS 1.1 oder höher bei maxcluster GmbH

Managed Center: Klicken Sie den Button „TLS Version“ an und deaktivieren Sie TLS 1.0.

 

TLS 1.0 deaktivieren - TLS 1.1 und höher bei maxcluster

Deaktivierung von TLS 1.0

 

Wie kann ich überprüfen, ob TLS 1.0 deaktiviert wurde?

Über die freie Online Plattform „SSL Labs“ lässt sich Ihre Webanwendung überprüfen.

Unter „Configuration“ muss für TLS 1.0 „No“ angezeigt sein, für TLS 1.1 und 1.2 hingegen „Yes“.

Risiken bei der Deaktivierung

Betriebssysteme wie Windows XP, Windows Vista, Windows Server 2003/2008, OS X 10.8 Mountain Lion und frühere, Android 4.3 Jelly Bean und frühere, iOS 4 und frühere unterstützen kein TLS 1.1 oder 1.2. Deswegen ist eine verschlüsselte Verbindung über diese Browser nicht mehr möglich ist, sobald TLS 1.0 deaktiviert wird.

Welche Browser unterstützen TLS 1.1 und/oder TLS 1.2?

 
Browser Anmerkungen zur Kompatibilität
Microsoft Internet Explorer (IE)
Desktop und mobiler IE, Version 11 Standardmäßig kompatibel mit TLS 1.1 oder höher.
Desktop IE Versionen 8, 9, und 10 Kompatibel nur unter Windows 7 oder neuer, aber nicht standardmäßig.
Desktop IE Versionen 7 und darunter Nicht kompatibel mit TLS 1.1 oder höherer Verschlüsselung.
Mobile IE Versionen 10 und darunter Nicht kompatibel mit TLS 1.1 oder höherer Verschlüsselung.
Microsoft Edge Standardmäßig kompatibel mit TLS 1.1 oder höher.
Mozilla Firefox
Firefox 27 und höher Standardmäßig kompatibel mit TLS 1.1 oder höher.
Firefox 23 bis 26 Kompatibel, aber nicht standardmäßig.
TLS 1.1 oder TLS 1.2 über about:config aktivieren: den Konfigurationswert security.tls.version.max für TLS 1.1 auf 2 und für TLS 1.2 auf 3 setzen.
Firefox 22 und darunter Nicht kompatibel mit TLS 1.1 oder höherer Verschlüsselung.
Google Chrome
Google Chrome 38 und höher Standardmäßig kompatibel mit TLS 1.1 oder höher.
Google Chrome 22 bis 37 Kompatibel unter Windows XP SP3, Vista, oder neuer (Desktop), unter OS X 10.6 (Snow Leopard) oder neuer (Desktop) oder unter Android 2.3 (Gingerbread) oder neuer (mobile).
Google Chrome 21 und darunter Nicht kompatibel mit TLS 1.1 oder höherer Verschlüsselung.
Google Android OS Browser
Android 5.0 (Lollipop) und höher Standardmäßig kompatibel mit TLS 1.1 oder höher.
Android 4.4 (KitKat) bis 4.4.4 Unter Umständen kompatibel mit TLS 1.1 oder höher. Einige Geräte mit Android 4.4.x unterstützen TLS 1.1 oder höher möglicherweise nicht.
Android 4.3 (Jelly Bean) und darunter Nicht kompatibel mit TLS 1.1 oder höherer Verschlüsselung.
Apple Safari
Desktop Safari Versionen 7 und höher für OS X 10.9 (Mavericks) und höher Standardmäßig kompatibel mit TLS 1.1 oder höher.
Desktop Safari Versionen 6 und darunter für OS X 10.8 (Mountain Lion) und darunter Nicht kompatibel mit TLS 1.1 oder höherer Verschlüsselung.
Mobile Safari Versionen 5 und höher für iOS 5 und höher Standardmäßig kompatibel mit TLS 1.1 oder höher.
Mobile Safari für iOS 4 und darunter Nicht kompatibel mit TLS 1.1 oder höherer Verschlüsselung.

 Quelle: https://www.rushcliff.com/security-update-tls.php

Fazit

Das US-Cert und das BSI warnen davor, weiterhin TLS 1.0 zu verwenden. Wir empfehlen, TLS 1.0 über unser Managed Center zu deaktivieren, trotz der beschriebenen Inkompatibilität mit einigen Browsern. Das Risiko, dass die Sicherheitslücken im TLS 1.0 ausgenutzt werden, ist einfach zu groß. Onlineshops, die Kreditkartentransaktionen abwickeln, kommen aufgrund der notwendigen PCI-DSS-Compliance ohnehin nicht darum herum. Wir raten zu einer zeitnahen Umstellung.

Auf unsere Beratung und Unterstützung dürfen Sie wie immer zählen. Kontaktieren Sie unseren Service unter support@maxcluster.de oder telefonisch unter 05251-414130.

Weiterführende Links