PCI-Konformität und Cloudflare SSL

Erfahren Sie, wie Sie Cloudflare so konfigurieren, dass es die PCI-Scananforderungen erfüllt, und welche Abhilfemaßnahmen Cloudflare für frühere Versionen von TLS/SSL bietet.


Überblick

Sowohl TLS 1.0 als auch TLS 1.1 reichen aufgrund bekannter Sicherheitslücken nicht aus, um Informationen zu schützen. Speziell für Cloudflare-Kunden ist die primäre Auswirkung von PCI, dass TLS 1.0 und TLS 1.1 nicht ausreichen, um den Datenverkehr im Zusammenhang mit Zahlungskarten zu sichern.

PCI-Standards empfehlen die Verwendung von TLS 1.2. Unten finden Sie eine Liste der empfohlenen Cloudflare-SSL-Konfigurationen zur Überprüfung der PCI-Kompatibilität.

Lesen Sie auch, welche Maßnahmen Cloudflare gegen Sicherheitsanfälligkeiten für TLS 1.0 und 1.1 implementiert.


Empfohlene Cloudflare-SSL-Konfigurationen für PCI-Konformität

Für Free-, Business- und Enterprise-Domains:

Für Pro-Domains:

Setzen Sie die TLS-Mindestversion auf 1.2

So konfigurieren Sie Ihre Cloudflare-Domain, damit nur Verbindungen mit TLS 1.2 oder neueren Protokollen zugelassen werden:

1. Melden Sie sich im Cloudflare-Dashboard an.

2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain.

3. Stellen Sie sicher, dass die richtige Domain ausgewählt ist.

4. Klicken Sie auf die Cloudflare-App SSL/TLS.

5. Scrollen Sie zum Abschnitt TLS-Mindestversion.

6. Wählen Sie TLS 1.2.


Cloudflare-Schutz vor bekannten TLS-Sicherheitslücken

Es gibt verschiedene Maßnahmen, mit denen Cloudflare bekannte Sicherheitslücken für TLS-Versionen vor 1.2 abdeckt. Cloudflare unterstützt beispielsweise nicht:

  1. Header-Komprimierung in TLS
  2. Header-Komprimierung in SPDY 3.1
  3. RC4
  4. SSL 3.0
  5. Neuverhandlung mit Kunden
  6. DHE Cipher Suites
  7. Exportfähige Cipher
Cloudflare unterstützt TLS_FALLBACK_SCSV.

Cloudflare-Schutzmaßnahmen schützen vor mehreren Angriffen:

  • CRIME
  • BREACH
  • POODLE
  • RC4 Kryptografische Schwächen
  • SSL-Renegotiation Attack
  • Protocol Downgrade Attacks
  • FREAK
  • LogJam
  • 3DES ist für TLS 1.1 und 1.2 vollständig deaktiviert, und Cloudflare implementiert Abhilfemaßnahmen für TLS 1.0

Cloudflare bietet zusätzliche Abhilfemaßnahmen für:

  • Heartbleed
  • Lucky Thirteen
  • CCS-Injection-Schwachstelle

Cloudflare hat alle Server gegen diese Sicherheitslücken gepatcht. Die Cloudflare-WAF enthält außerdem Regeln, um mehrere dieser Sicherheitsanfälligkeiten zu verringern, einschließlich Heartbleed und ShellShock.

HTTP/2- und HTTP/1.1-Klartexterkennung (nur kostenpflichtige Pläne):

Verwenden Sie die Cloudflare-WAF-Regel 100015, um Verbindungen nur auf die Ports 80 und 443 zu beschränken, wenn Sie keine anderen offenen Cloudflare-Ports verwenden. Sie finden die WAF-Regel 100015 in der Cloudflare-Benutzeroberfläche für Ihre Domain:

  1. Klicken Sie auf die Cloudflare-App Firewall.
  2. Klicken Sie auf den Tab Verwaltete Regeln.
  3. Klicken Sie im Abschnitt Von Cloudflare verwaltete Regeln auf Erweitert.
  4. Geben Sie 100015 in das Suchfeld ein und klicken Sie auf Suchen.
  5. Setzen Sie den Modus der Regel 100015 auf Blockieren.

Einmal aktiviert, sind die zusätzlichen Cloudflare-Ports noch offen, aber es werden keine Daten an diese Ports gesendet, da die WAF die Anfragen mit einer HTTP 403-Antwort blockiert.

Return Of Bleichenbacher's Oracle Threat (ROBOT)

Sicherheitsscans, bei denen die Anwesenheit von ROBOT in Cloudflare festgestellt wird, sind ein falsch-positives Ergebnis. Cloudflare überprüft das Padding in Echtzeit und wechselt zu einem zufälligen Sitzungsschlüssel, wenn das Padding nicht korrekt ist.

Web Application Cookies, die nicht als sicher markiert sind

Das Cloudflare-Cookie cfduid wird aus Sicherheitsgründen verwendet und kann nicht deaktiviert werden. Das cfduid-Cookie enthält keine vertraulichen oder sensiblen Informationen und wird verwendet, um festzustellen, ob ein Benutzer JavaScript-Herausforderungen bestanden hat, wie sie beispielsweise im Under Attack-Modus verwendet werden.

Sweet32 (CVE-2016-2183)

Eine Sicherheitslücke bei der Verwendung des Triple DES (3DES)-Verschlüsselungsalgorithmus im TLS-(Transport Layer Security)-Protokoll. Sweet32 ist derzeit ein Proof-of-Concept-Angriff, wofür keine Beispiele bekannt sind.

Cloudflare hat die Sicherheitsanfälligkeit für TLS 1.0 folgendermaßen manuell bekämpft:

  • Der Angreifer muss 32 GB Daten in einer einzigen TLS-Sitzung sammeln
  • Cloudflare erzwingt neue TLS 1.0-Sitzungsschlüssel für die betroffene 3DES-Verschlüsselung, lange bevor 32 GB Daten erfasst werden
Wenn bei Ihren PCI-Scans Fehler zu Sweet32 (CVE-2016-2183) auftreten, setzen Sie TLS-Mindestversion auf 1.2.

Verwandte Ressourcen

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk