Cumplimiento de PCI y SSL de Cloudflare

Aprende a configurar Cloudflare para que cumpla con los requisitos de escaneo de PCI y comprende con qué mitigaciones cuenta Cloudflare para versiones anteriores de TLS/SSL.


Información general

Debido a vulnerabilidades conocidas, ni TLS 1.0 ni TLS 1.1 son suficientes para proteger la información. Específicamente para los clientes de Cloudflare, el impacto principal del PCI es que TLS 1.0 y TLS 1.1 no son suficientes para asegurar el tráfico relacionado con tarjetas de pago.

Los estándares de PCI recomiendan el uso de TLS 1.2. A continuación, puedes revisar nuestra lista de configuraciones recomendadas de SSL de Cloudflare para el cumplimiento de PCI.

También puedes consultas qué mitigaciones implementa Cloudflare contra las vulnerabilidades para TLS 1.0 y TLS 1.1.


Configuraciones recomendadas de SSL de Cloudflare para el cumplimiento de PCI

Para dominios Free, Business y Enterprise:

Para dominios Pro:

Establece la versión mínima de TLS en 1.2.

Para configurar tu dominio Cloudflare para que solo permita conexiones con protocolos TLS 1.2 o más nuevos:

1. Inicia sesión en el panel de control de Cloudflare.

2. Haz clic en la cuenta de Cloudflare adecuada para el dominio.

3. Asegúrate de seleccionar el dominio pertinente.

4. Haz clic en la aplicación SSL/TLS de Cloudflare.

5. Desplázate hacia la sección versión mínima de TLS.

6. Selecciona TLS 1.2.


Mitigaciones de Cloudflare contra vulnerabilidades TLS conocidas

Cloudflare lleva a cabo varias mitigaciones contra vulnerabilidades conocidas para versiones TLS previas a 1.2. Por ejemplo, Cloudflare no es compatible con lo siguiente:

  1. Compresión de encabezado en TLS
  2. Compresión de encabezado en SPDY 3.1
  3. RC4
  4. SSL 3.0
  5. Renegociación con clientes
  6. Suites de cifrado DHE
  7. Cifrados para exportación
Cloudflare es compatible con TLS_FALLBACK_SCSV.

Las mitigaciones de Cloudflare brindan protección contra varios ataques:

  • CRIME
  • BREACH
  • POODLE
  • Debilidades criptográficas de RC4
  • Ataque de renegociación SSL
  • Ataques de degradación de protocolo
  • FREAK
  • LogJam
  • 3DES está deshabilitado por completo para TLS 1.1 y 1.2 y Cloudflare implementa mitigaciones para TLS 1.0.

Cloudflare proporciona mitigaciones adicionales para lo siguiente:

  • Heartbleed
  • Trece con suerte
  • Vulnerabilidad de inyección CCS

Cloudflare ha aplicado parches contra estas vulnerabilidades en todos los servidores. Además, el WAF de Cloudflare cuenta con reglas para mitigar varias de estas vulnerabilidades, incluso Heartbleed y ShellShock.

Detección de texto no cifrado HTTP/2 y HTTP/1.1 (solo para planes de pago):

Usa la regla 100015 del WAF de Cloudflare para restringir las conexiones solamente a los puertos 80 y 443 si no usas otros puertos abiertos de Cloudflare. Puedes encontrar la regla 100015 del WAF en la interfaz de usuario de Cloudflare para tu dominio:

  1. Haz clic en la aplicación Firewall de Cloudflare.
  2. Haz clic en la pestaña Reglas administradas.
  3. Haz clic en Avanzado debajo de la sección Reglas administradas de Cloudflare.
  4. Escribe 100015 en el campo de búsqueda y haz clic en Buscar.
  5. Establece el Modo de la regla 100015 en Bloqueo.

Una vez habilitado, los puertos adicionales de Cloudflare seguirán abiertos, pero no se les enviarán datos, ya que el WAF bloquea la solicitud con una respuesta HTTP 403.

Retorno de la amenaza del oráculo de Bleichenbacher (ROBOT)

Los escaneos de seguridad que notan la presencia de ROBOT en Cloudflare son un falso positivo. Cloudflare controla el relleno en tiempo real y cambia a una clave de sesión aleatoria si este es incorrecto.

Cookies de aplicación web marcadas como no seguras

La cookie cfduid de Cloudflare se usa para fines de seguridad y no puede deshabilitarse. La cookie cfduid no contiene información confidencial y se usa para notar si un usuario ha superado los desafíos de JavaScript como los que utiliza el modo Under Attack.

Sweet32 (CVE-2016-2183)

Una vulnerabilidad en el uso del algoritmo de cifrado Triple DES (3DES) en el protocolo Transport Layer Security (TLS). En la actualidad, Sweet32 es un ataque de prueba de concepto. No pueden encontrarse ejemplos de este ataque en circulación.

Cloudflare ha mitigado manualmente la vulnerabilidad para TLS 1.0 de la siguiente manera:

  • el atacante debe recolectar 32 GB de datos de una sola sesión TLS.
  • Cloudflare fuerza nuevas claves de sesión de TLS 1.0 en el cifrado 3DES afectado mucho antes de que se recolecten los 32 GB de datos.
Si ves errores en Sweet32 (CVE-2016-2183) en tus escaneos de PCI, establece la versión mínima de TLS en 1.2.

Recursos relacionados

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk