Güvenlik standartlarını belirleyen PCI, SSL ve eski TLS protokollerini veri güvenliği standartları arasından çıkardı.
Özellikle iş dünyasında SSL ve TLS şifreleme protokolleri veri güvenliği açısından önem taşıyor. Bu protokollerde zaman içinde birçok güvenlik açığı tespit edildi ve bu açıklar hackerlar tarafından da kullanıldı. Açıklar giderilerek protokollerin daha güvenli sürümleri ortaya çıkarıldı.
Güvenlik standartlarını belirleyen PCI (Payment Card Industry), PCI DSS (PCI Data Security Standart) güvenlik kriterlerinde 30 Haziran 2018 tarihinden itibaren SSL ve eski TLS protokollerinin devre dışı bırakılıp, daha yeni protokollerin kullanılmasını zorunlu hale getirdi. TLS 1.1 ve daha yeni standartlar uygun görülse de, TLS 1.2 sürümünün kullanılması şiddetle tavsiye ediliyor.
SSL Ve Eski TLS Protokolleri Nedir?
Transport Layer Security (TLS), iki sistem arasında güvenli iletişim kanalı oluşturmak için kullanılan şifrelenmiş bir güvenlik protokolüdür. Her iki sistemde de güvenlik doğrulaması yapmak için kullanılır ve iletişim sırasında verilerin sağlamlığından ve gizliliğinden emin olunmasını sağlar.
İlk olarak 1990’ların başında Netscape tarafından Secure Sockets Layer (SSL) geliştirildi. Daha sonra Internet Engineering Taskforce (IETF) tarafından bu standart, bilinen açıklara ve yeni şifreleme algoritmalarına göre geliştirildi. 1996’da SSL 3.0, 1999’da TLS 1.0, 2006’da TLS 1.1 ve son olarak da 2008’de TLS 1.2 ortaya çıkarıldı.
Eski Protokolleri Kullanmanın Riski Nedir?
Daha önce birçok şirket SSL ve eski TLS protokollerinde yer alan açıklar kullanılarak hacklendi. Çok sayıda şirketi etkileyen POODLE ve BEAST açıkları, şirketlere güvenlik konusunun ne kadar ciddi olduğunu gösterdi. ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), SSL ve eski TLS standartlarını onaracak bir yamanın olmadığını belirtiyor. Bu yüzden şirketlerin daha yeni standartlara mümkün olduğunca çabuk geçiş yapması gerekiyor. Eski standartlar da mutlaka devre dışı bırakılmalı.
Güvenlik Açıklarından En Çok Kim Etkileniyor?
Online alışveriş ve ticaret siteleri özellikle bu açıklardan etkileniyor. Artık PCI DSS standartları değiştiği için bu siteler de yeni standartlara geçiş yapmak zorunda. Ancak SSL ve eski TLS açıklarından etkilenmediği doğrulanmış ödeme noktaları ve bunların bağlı olduğu terminaller için bir istisna da sağlanmış.
Ödeme noktaları tarayıcı temelli sistemlerdeki bilinen açıklardan etkilenmeyebilir. Bu yüzden açıklardan etkilenmediği doğrulanan sistemlere bir ayrıcalık getirilmiş. Ayrıca bu sistemlerde güncel yamaların yapılıp, sadece gerekli eklentilerin kullanıldığından emin olunması gerektiği de belirtilmiş.
RC4, MD5 gibi daha zayıf ya da onaylanmamış algoritmalara sahip sistemlere ise izin verilmiyor.
Şirketlerin Ne Yapması Gerekiyor?
PCI bir yıl öncesinden bu tarihi duyurduğu için, bu tarihe geldiğimizde tüm geçişlerin yapılmış olması gerekiyordu. Ancak yine de yapılması gereken değişikleri maddeler halinde sıralayalım:
- En azından TLS 1.1’e ya da tavsiye edilen şekilde TLS 1.2’ye geçiş yapılmalı. Eski sürümler için yapılan yamalar ve önlemler kesin koruma sağlamıyor.
- TLS yazılımlarının OpenSSL’deki Heartbleed gibi uyarlama açıklarına karşı yamanması gerekiyor.
- TLS’in güvenli şekilde ayarlanması gerekiyor. Güvenli TLS şifreleyici yazılımlarının ve anahtar boyutlarının desteklendiğinden emin olun ve gerekli olmayan diğer şifreleyici yazılımları devre dışı bırakın. Örneğin Logjam güvenlik açığının hedefi olan düşük güvenlik düzeyine sahip Export-Grade şifrelemesini devre dışı bırakmanız gerekir.
Detaylı bilgi için PCI’ın internet sitesinizi ziyaret edebilirsiniz.
