Learn how to configure Cloudflare to meet PCI scan requirements and understand what mitigations Cloudflare has in place for earlier versions of TLS/SSL.

Overview

Both TLS 1.0 and TLS 1.1 are insufficient for protecting information due to known vulnerabilities. Specifically for Cloudflare customers, the primary impact of PCI is that TLS 1.0 and TLS 1.1 are insufficient to secure payment card related traffic.

PCI standards recommend using TLS 1.2. Below, you can review our list of recommended Cloudflare SSL configurations for PCI compliance.

Also see what mitigations Cloudflare implements against vulnerabilities for TLS 1.0 and 1.1.

Recommended Cloudflare SSL configurations for PCI compliance

Für Free-, Business- und Enterprise-Domains:

• Set the Minimum TLS Version to TLS 1.2 or newer

Für Pro-Domains:

• Erwerben Sie ein dediziertes SSL-Zertifikat oder führen Sie ein Upgrade zu einem Business-Plan durch und laden Sie ein benutzerdefiniertes SSL-Zertifikat hoch
• Universal SSL deaktivieren
• Set the Minimum TLS Version to TLS 1.2 or newer

Set Minimum TLS Version to 1.2

To configure your Cloudflare domain to only allow connections using TLS 1.2 or newer protocols:

1. Log in to the Cloudflare dashboard.

2. Click the appropriate Cloudflare account for the domain.

3. Ensure the proper domain is selected.

4. Klicken Sie auf die SSL/TLS-App von Cloudflare.

5. Scrollen Sie zum Abschnitt Minimum TLS Version .

6. Wählen Sie TLS 1.2.

Cloudflare mitigations against known TLS vulnerabilities

There are several mitigations Cloudflare performs against known vulnerabilities for TLS versions prior to 1.2. For example, Cloudflare does not support:

1. Header compression in TLS
2. Header compression in SPDY 3.1
3. RC4
4. SSL 3.0
5. Renegotiation with clients
6. DHE ciphersuites
7. Export-grade ciphers

Cloudflare mitigations protect against several attacks:

• CRIME
• BREACH
• POODLE
• RC4 Cryptographic Weaknesses
• SSL Renegotiation Attack
• Protocol Downgrade Attacks
• FREAK
• LogJam
• 3DES is disabled entirely for TLS 1.1 and 1.2 and Cloudflare implements mitigations for TLS 1.0

Cloudflare provides additional mitigations for:

• Heartbleed
• Lucky Thirteen
• CCS injection vulnerability

Cloudflare has patched all servers against these vulnerabilities. Also, the Cloudflare WAF has rules to mitigate several of these vulnerabilities including Heartbleed and ShellShock.

HTTP/2 and HTTP/1.1 Cleartext Detection (Paid Plans Only):

Use Cloudflare WAF rule 100015 to restrict connections to only port 80 and 443 if you aren't using other open Cloudflare ports. You can find WAF rule 100015 in the Cloudflare UI for your domain:

1. Klicken Sie auf die Firewall-App von Cloudflare.
2. Klicken Sie auf die Registerkarte Verwaltete Regeln.
3. Klicken Sie im Abschnitt Von Cloudflare verwaltete Regeln auf Erweitert.
4. Geben Sie 100015 in das Suchfeld ein und klicken Sie auf Suchen.
5. Setzen Sie den Modus der Regel 100015 auf Blockieren.

Once enabled, the additional Cloudflare ports are still open, but no data is sent to those ports as the WAF blocks the request with an HTTP 403 response.

Return of Bleichenbacher's Oracle Threat (ROBOT)

Security scans that note the presence of ROBOT while on Cloudflare are a false positive. Cloudflare checks padding in real time and swaps to a random session key if the padding is incorrect.

Web Application Cookies Not Marked Secure

Das Cloudflare-Cookie cfduid dient Sicherheitszwecken und kann nicht deaktiviert werden. Das cfduid-Cookie enthält keine vertraulichen oder sensiblen Informationen und wird verwendet, um zu erkennen, ob ein Nutzer Javascript-Herausforderungen bestanden hat, wie sie z. B. beim Under-Attack-Modus eingesetzt werden.

Sweet32 (CVE-2016-2183)

Eine Schwachstelle bei der Verwendung des Verschlüsselungsalgorithmus Triple DES (3DES) im Protokoll für Transport Layer Security (TLS). Sweet32 ist derzeit ein Proof-of-Concept-Angriff, es gibt keine bekannten Beispiele für diesen Angriff in freier Wildbahn. Cloudflare hat die Schwachstelle für TLS 1.0 auf folgende Weise manuell entschärft:

• attacker must collect 32GB of data from a single TLS session
• Cloudflare forces new TLS 1.0 session keys on the affected 3DES cipher well before 32GB of data is collected

Related resources

More articles on TLS, cipher, browser, and protocol support

undefined

• Cloudflare-SSL-Cipher, Browser und Protokollunterstützung – Informieren Sie sich darüber, welche TLS-Ciphers und -Protokolle von Cloudflare unterstützt werden. Erfahren Sie, welche Browser Cloudflare SSL-Zertifikate unterstützen und welche Zwischen- und Stammzertifikate zum Signieren von Cloudflare-Zertifikaten verwendet werden.
• Using Minimum TLS Version in Cloudflare SSL/TLS - Transport Layer Security (TLS) guarantees encrypted communications between a client and a web server via HTTPS. It replaces the now deprecated Secured Sockets Layer (SSL) protocol.