Conformidade do SSL da Cloudflare com os padrões PCI

Saiba como configurar a Cloudflare de modo a cumprir os requisitos de digitalização do padrão PCI e entenda quais mitigações a Cloudflare implementou para versões anteriores de TLS/SSL.


Visão geral

Devido a vulnerabilidades conhecidas, tanto o TLS 1.0 quanto o TLS 1.1 são insuficientes para proteger suas informações. Especificamente no caso dos clientes da Cloudflare, o principal impacto exercido pelo padrão PCI é que tanto o TLS 1.0 quanto o TLS 1.1 são considerados insuficientes para proteger o tráfego relacionado a cartões de pagamento.

Os padrões PCI recomendam o uso do TLS 1.2. Abaixo, você pode conferir nossa lista de configurações do SSL da Cloudflare recomendadas para a conformidade com os padrões PCI.

Veja também as mitigações implementadas pela Cloudflare com relação às vulnerabilidades do TLS 1.0 e 1.1.


Configurações do SSL da Cloudflare recomendadas para a conformidade com os padrões PCI

Para domínios dos planos Free, Business e Enterprise:

Para domínios do plano Pro:

Configure a Versão Mínima de TLS como 1.2

Para configurar seu domínio na Cloudflare de modo a permitir apenas conexões que utilizem protocolos TLS 1.2 ou mais recentes:

1. Faça o login no painel da Cloudflare.

2. Clique na conta Cloudflare adequada ao domínio.

3. Verifique se o domínio correto está selecionado.

4. Clique no aplicativo SSL/TLS da Cloudflare.

5. Role para baixo na página até a seção Versão Mínima de TLS.

6. Selecione TLS 1.2.


Mitigações da Cloudflare com relação a vulnerabilidades conhecidas de TLS

Existem várias medidas de mitigação que a Cloudflare executa com relação a vulnerabilidades conhecidas de versões TLS anteriores à 1.2. Por exemplo, a Cloudflare não dá suporte a:

  1. Compactação de cabeçalho em TLS
  2. Compactação de cabeçalho em SPDY 3.1
  3. RC4
  4. SSL 3.0
  5. Renegociação com clientes
  6. Conjuntos de cifras DHE
  7. Cifras com grau de exportação
A Cloudflare suporta o TLS_FALLBACK_SCSV.

As mitigações da Cloudflare protegem contra vários ataques:

  • CRIME
  • VIOLAÇÃO
  • POODLE
  • Fraquezas criptográficas do RC4
  • Ataque de renegociação de SSL
  • Ataques de rebaixamento de protocolo
  • FREAK
  • LogJam
  • O padrão 3DES é integralmente desativado para as versões de TLS 1.1 e 1.2 e a Cloudflare implementa mitigações para o TLS 1.0

A Cloudflare ainda oferece mitigações adicionais para:

  • Heartbleed
  • Lucky Thirteen
  • Vulnerabilidade de injeção de CCS

A Cloudflare reforçou todos os servidores contra essas vulnerabilidades. Além disso, o Cloudflare WAF tem regras para mitigar várias dessas vulnerabilidades, incluindo o Heartbleed e o ShellShock.

Detecção de texto claro (ClearText) em HTTP/2 e HTTP/1.1 (somente para planos pagos):

Use a regra 100015 do Cloudflare WAF para restringir as conexões às portas 80 e 443, caso você não esteja usando outras portas abertas da Cloudflare. Você pode localizar a regra WAF 100015 na interface de usuário da Cloudflare para o seu domínio:

  1. Clique no aplicativo Firewall da Cloudflare.
  2. Clique na guia Regras Gerenciadas.
  3. Na seção Regras Gerenciadas da Cloudflare, clique em Avançadas.
  4. Digite 100015 no campo de pesquisa e clique em Pesquisar.
  5. Configure o Modo da regra 100015 para Bloquear.

Assim que a regra estiver ativada, as portas adicionais da Cloudflare ainda estarão abertas, mas nenhum dado será enviado para essas portas, já que o WAF bloqueia a solicitação com uma resposta de HTTP 403.

Ameaça ROBOT (Return Of Bleichenbacher's Oracle)

As verificações de segurança que observam a presença do ROBOT na Cloudflare são um falso positivo. A Cloudflare verifica o padding em tempo real e alterna para uma chave de sessão aleatória se o padding estiver incorreto.

Cookies de aplicações web não marcados como seguros

O cookie cfduidda Cloudflare é usado para fins de segurança e não pode ser desativado. O cookie cfduid não contém nenhuma informação confidencial ou de caráter sensível e é usado para observar se um usuário foi aprovado nos desafios de javascript, tais como os utilizados pelo Modo Sob Ataque.

Sweet32 (CVE-2016-2183)

O Sweet32 é uma vulnerabilidade do uso do algoritmo de criptografia DES Triplo (3DES) no protocolo TLS (Transport Layer Security). Atualmente, o Sweet32 é uma prova de ataque conceitual, já que não há exemplos conhecidos dessa ocorrência em estado primitivo.

A Cloudflare mitigou manualmente a vulnerabilidade para TLS 1.0 da seguinte maneira:

  • o invasor precisa coletar 32 GB de dados em uma única sessão de TLS
  • A Cloudflare força novas chaves de sessão TLS 1.0 sobre a cifra 3DES afetada bem antes dos 32 GB de dados serem coletados
Se estiver vendo erros relativos ao ataque Sweet32 (CVE-2016-2183) em suas varreduras de PCI, configure a Versão Mínima de TLS como 1.2.

Recursos relacionados

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.