PCI 合规性和 Cloudflare SSL

了解如何配置 Cloudflare 以满足 PCI 扫描要求,并了解 Cloudflare 为早期版本的 TLS/SSL 提供的缓解措施。


概述

由于已知漏洞,TLS 1.0 和 TLS 1.1 都不足以保护信息。特别是对于 Cloudflare 客户,PCI 的主要影响是 TLS 1.0 和 TLS 1.1 不足以保护与支付卡相关的流量。

PCI 标准建议使用 TLS 1.2。您可以查看下面推荐的 Cloudflare SSL 配置以符合 PCI 合规性要求列表。

另请参阅 Cloudflare 针对 TLS 1.0 和 1.1 的漏洞实施的缓解措施


推荐的 Cloudflare SSL 配置以符合 PCI 合规性要求

对于 Free、Business 和 Enterprise 域:

对于 Pro 域:

最低 TLS 版本设置为 1.2

要将 Cloudflare 域配置为仅允许使用 TLS 1.2 或更新的协议进行连接:

1.登录 Cloudflare 仪表板。

2.单击域的相应 Cloudflare 账户。

3.确保选择了正确的域。

4.单击 Cloudflare SSL/TLS 应用。

5.滚动到最低 TLS 版本部分。

6.选择 TLS 1.2


Cloudflare 针对已知 TLS 漏洞的缓解措施

Cloudflare 针对 1.2 之前的 TLS 版本的已知漏洞执行了多项缓解措施。例如,Cloudflare 不支持:

  1. TLS 中的标头压缩
  2. SPDY 3.1 中的标头压缩
  3. RC4
  4. SSL 3.0
  5. 与客户端重新协商
  6. DHE 密码套件
  7. 出口级密码
Cloudflare 支持 TLS_FALLBACK_SCSV。

Cloudflare 缓解措施可防御多种攻击:

  • CRIME
  • BREACH
  • POODLE
  • RC4 加密弱点
  • SSL 重新协商攻击
  • 协议降级攻击
  • FREAK
  • LogJam
  • TLS 1.1 和 1.2 完全禁用 3DES,而 Cloudflare 对 TLS 1.0 实施了缓解措施

Cloudflare 为以下方面提供了其他缓解措施:

  • Heartbleed
  • Lucky Thirteen
  • CCS 注入漏洞

Cloudflare 已针对这些漏洞修补了所有服务器。此外,Cloudflare WAF 还运用规则来缓解其中的一些漏洞,包括 Heartbleed 和 ShellShock。

HTTP/2 和 HTTP/1.1 明文检测(仅限付费计划):

如果您未使用其他开放的 Cloudflare 端口,则使用 Cloudflare WAF 规则 100015 将连接限制为端口 80 和 443。您可以在您的域的 Cloudflare UI 中找到 WAF 规则 100015:

  1. 单击 Cloudflare 防火墙应用。
  2. 单击托管规则选项卡。
  3. 单击 Cloudflare 托管规则部分下的高级
  4. 在搜索字段中输入 100015,然后单击“搜索”。
  5. 将规则 100015模式设置为阻止

启用后,其他 Cloudflare 端口仍处于开放状态,但由于 WAF 使用 HTTP 403 响应阻止请求,因此不会向这些端口发送任何数据。

布雷琴巴赫 Oracle 威胁重现(Return Of Bleichenbacher's Oracle Threat,ROBOT)

在 Cloudflare 上注意到 ROBOT 存在的安全扫描是误报。Cloudflare 实时检查填充,如果填充不正确,则切换为随机会话密钥。

Web 应用程序 Cookie 未标记为安全

Cloudflare cfduid cookie 用于安全目的,无法禁用。cfduid cookie 不包含任何机密或敏感信息,用于指示用户是否已通过 javascript 挑战(例如遭遇攻击模式使用的挑战)。

Sweet32(CVE-2016-2183)

在传输层安全性(TLS)协议中使用 Triple DES(3DES)加密算法的漏洞。Sweet32 目前是概念攻击的一个证明,在自然环境下没有已知的例子。

Cloudflare 以下列方式手动缓解了 TLS 1.0 的漏洞:

  • 攻击者必须从单个 TLS 会话中收集 32GB 数据
  • 在收集 32GB 数据之前,Cloudflare 会在受影响的 3DES 密码上强制使用新的 TLS 1.0 会话密钥
如果您在 PCI 扫描中看到有关 Sweet32(CVE-2016-2183)的错误,请将最低 TLS 版本设置为 1.2

相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持