Compatible avec la PCI et SSL de Cloudflare

Apprenez à configurer Cloudflare pour répondre aux exigences de l’analyse PCI et découvrez les mesures d’atténuation que Cloudflare a mises en place pour les versions antérieures de TLS/SSL.


Présentation

TLS 1.0 et TLS 1.1 ne suffisent pas à protéger les informations en raison de vulnérabilités connues. En ce qui concerne plus particulièrement les clients Cloudflare, le principal impact de PCI est que TLS 1.0 et TLS 1.1 sont insuffisants pour sécuriser le trafic lié aux cartes de paiement.

Les normes PCI recommandent l’utilisation de TLS 1.2. Ci-dessous, vous trouverez notre liste de configurations SSL Cloudflare recommandées pour la compatibilité PCI.

Voir également les mesures d’atténuation que Cloudflare met en œuvre contre les vulnérabilités de TLS 1.0 et TLS 1.1.


Configurations SSL Cloudflare recommandées pour la compatibilité PCI

Pour les domaines Free, Business et Enterprise :

Pour les domaines Pro :

Définissez la version minimale de TLS sur TLS 1.2

Pour configurer votre domaine Cloudflare afin qu’il n’autorise que les connexions utilisant TLS 1.2 ou des protocoles plus récents :

1. Connectez-vous au tableau de bord Cloudflare.

2. Sélectionnez le compte Cloudflare concerné pour le domaine.

3. Assurez-vous que le bon domaine soit sélectionné.

4. Cliquez sur l’application SSL/TLS de Cloudflare.

5. Faites défiler jusqu’à la section Version minimale de TLS.

6. Sélectionnez TLS 1.2.


Mesures d’atténuation de Cloudflare contre les vulnérabilités connues de TLS

Cloudflare applique plusieurs mesures de protection contre les vulnérabilités connues des versions de TLS antérieures à TLS 1.2. Par exemple, Cloudflare ne prend pas en charge :

  1. Compression d’en-tête dans TLS
  2. Compression d’en-tête dans SPDY 3.1
  3. RC4
  4. SSL 3.0
  5. Renégociation avec les clients
  6. Suites cryptographiques DHE
  7. Exportation de la cryptographie
Cloudflare prend en charge TLS_FALLBACK_SCSV.

Les mesures d’atténuation de Cloudflare protègent contre plusieurs attaques :

  • CRIME
  • BREACH
  • POODLE
  • Faiblesses cryptographiques RC4
  • Attaque de renégociation SSL
  • Attaques de déclassement de protocole
  • FREAK
  • LogJam
  • 3DES est entièrement désactivé pour TLS 1.1 et TLS 1.2, et Cloudflare implémente des mesures d’atténuation pour TLS 1.0.

Cloudflare fournit des mesures d’atténuation supplémentaires pour :

  • Heartbleed
  • Lucky Thirteen
  • Vulnérabilité d’injection CCS

Cloudflare a corrigé tous les serveurs contre ces vulnérabilités. En outre, le Cloudflare WAF possède des règles pour atténuer plusieurs de ces vulnérabilités, notamment Heartbleed et ShellShock.

Cleartext Detection HTTP/2 et HTTP/1.1 (offres payantes uniquement) :

Utilisez la règle 100015 de Cloudflare WAF pour limiter les connexions au port 80 et 443 uniquement si vous n’utilisez pas d’autres ports Cloudflare ouverts. Vous pouvez trouver la règle WAF 100015 dans l’interface utilisateur Cloudflare de votre domaine :

  1. Cliquez sur l’application Firewall de Cloudflare.
  2. Cliquez sur l’onglet Règles gérées.
  3. Cliquez sur Avancé dans la section Règles gérées Cloudflare.
  4. Saisissez 100015 dans le champ de recherche et cliquez sur Rechercher.
  5. Définissez le Mode de la règle 100015 sur Bloquer.

Une fois activés, les ports Cloudflare supplémentaires sont toujours ouverts, mais aucune donnée n’est envoyée à ces ports car le WAF bloque la demande avec une réponse HTTP 403.

ROBOT (Return Of Bleichenbacher’s Oracle Threat)

Les analyses de sécurité qui notent la présence de ROBOT sur Cloudflare sont un faux positif. Cloudflare vérifie le remplissage en temps réel et bascule vers une clé de session aléatoire si le remplissage est incorrect.

Cookies d’applications Web non marquées comme sécurisées

Le cookie cfduid de Cloudflare est utilisé à des fins de sécurité et ne peut pas être désactivé. Le cookie cfduid ne contient pas d’informations sensibles ou confidentielles et sert à indiquer si un utilisateur a réussi les défis JavaScript, tels que ceux utilisés par le mode Under Attack.

Sweet32 (CVE-2016-2183)

Une vulnérabilité dans l’utilisation de l’algorithme de chiffrement 3DES (Triple DES) dans le protocole TLS (Transport Layer Security). Sweet32 est actuellement une attaque de validation technique, il n’y a aucun exemple connu de cette application, bien que sa faisabilité ait été démontrée.

Cloudflare a manuellement atténué la vulnérabilité de TLS 1.0 de la manière suivante :

  • Les pirates doivent collecter 32 Go de données à partir d’une seule session TLS
  • Cloudflare force les nouvelles clés de session TLS 1.0 sur le chiffrement 3DES affecté bien avant que 32 Go de données ne soient collectés
Si vous constatez des erreurs concernant Sweet32 (CVE-2016-2183) dans vos analyses PCI, définissez la version minimale de TLS sur TLS 1.2.

Ressources associées

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk