Seguridad para transacciones electrónicas: nuestro plan de obsolescencia de TLS 1.0 y 1.1

Nota: En este enlace encontrarás la información más actualizada sobre nuestro plan de obsolescencia de TLS 1.0. undefined

En este artículo, te contamos los planes que Fastly ha elaborado tras conocer los últimos cambios introducidos en las normas de seguridad de datos para el sector de tarjetas de pago (PCI DSS), incluidos algunos cambios en el protocolo de seguridad de la capa de transporte (TLS). En abril de 2015, el Consejo sobre Normas de Seguridad de la PCI publicó la actualización 3.1 de las normas PCI DSS. Esta excluye de los protocolos que admiten cifrado sólido los protocolos SSL (capa de sockets seguros) 3.0, TLS 1.0 y algunos cifrados que admite la TLS 1.1. El objetivo es que suspendamos la compatibilidad con esos protocolos o cifrados y garanticemos así tu seguridad y la de tus clientes.

Se han registrado varios problemas de seguridad graves y sistémicos relacionados con las versiones anteriores de TLS y de SSL, incluidos POODLE, Heartbleed y LOGJAM. Estas vulnerabilidades amenazaban con minar la confianza en métodos esenciales para las comunicaciones seguras y exponer a tus clientes y a ti a violaciones de la seguridad. Las acciones que ha adoptado el Consejo pretenden elevar los niveles mínimos de seguridad. Además, refuerzan la seguridad de todas las transacciones electrónicas empresariales.

Estos cambios implican que Fastly debe aceptar versiones más recientes de TLS, notificarte que vamos a implementar esos cambios y publicar un plan que detalle cuándo y cómo podrían afectar a tus aplicaciones. Este artículo —que conservaremos con fines de documentación— detalla los cambios que ha aprobado el Consejo y el plan de obsolescencia de TLS 1.0 y 1.1 que hemos elaborado. Si utilizas TLS 1.0 o 1.1 para comunicaciones privadas entre el cliente y el edge o entre la caché y el centro de datos del origen, los cambios afectarán a los servicios prestados a través de Fastly. En ese caso, recomendamos que revises dicho plan. Si tienes alguna duda o preocupación, ponte en contacto con nuestro equipo en la dirección support@fastly.com.

Reproducimos a continuación los requisitos concretos que recogen las PCI DSS y que se han modificado con respecto a las versiones anteriores, así como la acción subsiguiente requerida:

• 2.2.3: implementar funciones de seguridad adicionales para los servicios, protocolos o «daemons» requeridos que no se consideren seguros.

• 2.3: cifrar todo el acceso administrativo que no sea de consola utilizando un cifrado sólido.

• 4.1: utilizar cifrado y protocolos de seguridad sólidos para proteger los datos confidenciales del titular de la tarjeta durante la transmisión por redes públicas abiertas.

Además, la versión actualizada de los requisitos diferencia entre implementaciones de protocolos de cifrado nuevas y existentes. La implementación de Fastly pertenece a las existentes en lo relativo a los servicios ofrecidos antes de la versión 3.1 de los requisitos. De este modo, tenemos margen para ir suspendiendo la compatibilidad con los protocolos anteriores y tú puedes adaptarte a estos cambios elevando a la versión 1.2 de TLS la compatibilidad mínima del cliente. Así, te aseguras de que la transición no sufra retrasos.

A partir del estado de la implementación existente de Fastly, hemos elaborado el siguiente plan de migración. El objetivo es que, antes del 30 de junio de 2016, que es el plazo establecido por el Consejo, solo seamos compatibles con la versión 1.2 de TLS:

• Supervisar continuamente el uso de protocolos de cifrado en la red de Fastly.

  • Las estadísticas de tráfico indican que, a la publicación de estas líneas, un 14 % usa TLS 1.0, un 0,05 % usa TLS 1.1 y un 85,95 % usa TLS 1.2. Abandonamos SSL 3.0 el 14 de octubre de 2014 debido a la vulnerabilidad POODLE.

• Anunciar y comunicar la intención de Fastly de migrar a compatibilidad exclusiva con TLS 1.2 el 1 de julio de 2016 a efectos de producción y de la aplicación administrativa de Fastly.

• Fijar un plazo de migración de Fastly que concuerde con el plazo fijado por la versión 3.1 de las PCI DSS: 30 de junio de 2016.

• Deshabilitar TLS 1.0 y 1.1 el 30 de junio de 2016.

La versión 3.1 de las normas PCI DSS fija un plazo para poner todo lo anterior en práctica. Antes de que venza, te comunicaremos que vamos a abandonar TLS 1.0 y los cifrados débiles de TLS 1.1 debido a que se han detectado algunas vulnerabilidades en estos protocolos. La idea es lograr una transición ágil que minimice el impacto para los usuarios que admitan versiones anteriores de navegadores y clientes. De todos modos, nos reservamos el derecho de acelerar los plazos de la migración si descubrimos alguna vulnerabilidad, para proteger a nuestros clientes y a la infraestructura de Fastly.

Si tienes alguna duda o preocupación acerca de las medidas de cumplimiento normativo de Fastly, nuestro estado de Proveedor de Servicios de Nivel 1 con arreglo a las PCI DSS o preguntas acerca de este plan de migración, ponte en contacto con nuestro equipo de soporte técnico. Valoramos la relación empresarial que nos une contigo. Por eso, esperamos que recibas este anuncio como una muestra más del compromiso que mantenemos con tu seguridad y la de tus usuarios finales.