Nombre de usuario
Crear Cuenta
Desactivar SSLv2 y cifrados débiles
Cumplimiento de la normativa PCI: desactivar SSLv2 y los cifrados débiles
De acuerdo con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), los comerciantes que manejan datos de tarjetas de crédito deben utilizar criptografía y protocolos de seguridad sólidos, como SSL/TLS o IPSEC, para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas.
¿Qué significa esto? Para validar su cumplimiento de la norma PCI DSS en este ámbito, deberá asegurarse de que los servidores pertinentes de su entorno PCI estén configurados para no permitir la versión 2 de Secure Sockets Layer (SSL), así como la criptografía «débil». También se le exige que realice análisis trimestrales de vulnerabilidad de seguridad PCI en sus sistemas PCI externos. Si no desactiva SSLv2 y los cifrados débiles, es casi seguro que no superará los análisis. A su vez, esto dará lugar a un incumplimiento de la normativa, con los riesgos y consecuencias que ello conlleva.
El dilema de SSLv2
¿Su servidor es compatible con SSLv2?
Cómo realizar la prueba:
Deberá tener OpenSSL instalado en el sistema desde el que realizará las pruebas. Una vez instalado, utilice el siguiente comando para probar su servidor web, suponiendo que el puerto 443 es donde proporciona conexiones https:
# openssl s_client -ssl2 -connect SERVERNAME:443
Si el servidor no es compatible con SSLv2, debería recibir un error similar al siguiente:
# openssl s_client -ssl2 -connect NOMBRE_SERVIDOR:443
CONECTADO(00000003)
458:error:1407F0E5:rutinas SSL:SSL2_WRITE:error en el protocolo de enlace SSL:s2_pkt.c:428:
Cómo configurar Apache v2 para que no acepte conexiones SSLv2:
Deberá modificar la directiva SSLCipherSuite en el archivo httpd.conf o ssl.conf.
Un ejemplo sería editar las siguientes líneas para que queden similares a:
SSLProtocol -ALL +SSLv3 +TLSv1
Reinicie el proceso Apache y asegúrese de que el servidor funciona correctamente. Vuelva a realizar la prueba con OpenSSL para confirmar que ya no se acepta SSLv2.
Cómo configurar Microsoft IIS para que no acepte conexiones SSLv2:
Deberá modificar el registro del sistema.
Combine las siguientes claves en el registro de Windows®:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
«Enabled»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
«Enabled»=dword:00000000
Reinicie el sistema y compruebe que el servidor funciona correctamente. Vuelva a realizar la prueba con OpenSSL para confirmar que SSLv2 ya no se acepta.
Esos molestos cifrados SSL débiles
¿Su servidor admite cifrados SSL débiles?
Cómo realizar la prueba:
Necesitará tener OpenSSL instalado en el sistema desde el que realizará las pruebas. Una vez instalado, utilice el siguiente comando para probar su servidor web, suponiendo que el puerto 443 es donde proporciona conexiones https:
# openssl s_client -connect SERVERNAME:443 -cipher LOW:EXP
Si el servidor no admite cifrados débiles, debería recibir un error similar al siguiente:
# openssl s_client -connect NOMBRE_SERVIDOR:443 -cipher LOW:EXP
CONECTADO(00000003)
461:error:140790E5:rutinas SSL:SSL23_WRITE:error en el protocolo SSL:s23_lib.c:226:
Cómo configurar Apache v2 para que no acepte cifrados SSL débiles:
Deberá modificar la directiva SSLCipherSuite en el archivo httpd.conf o ssl.conf.
Un ejemplo sería editar las siguientes líneas para que queden similares a:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Reinicie el proceso Apache y asegúrese de que el servidor funciona correctamente. Vuelva a realizar la prueba con OpenSSL para confirmar que ya no se aceptan cifrados SSL débiles.
Cómo configurar Microsoft IIS para que no acepte cifrados SSL débiles:
Deberá modificar el registro del sistema.
Fusiona las siguientes claves en el registro de Windows®:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
«Enabled»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
«Enabled»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
«Enabled»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
«Enabled»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
«Enabled»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
«Enabled»=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
«Enabled»=dword:0000000
Reinicie el sistema y asegúrese de que el servidor funciona correctamente. Vuelva a realizar la prueba con OpenSSL para confirmar que ya no se aceptan cifrados SSL débiles.
En este punto, pida a su proveedor de análisis aprobado (ASV) que analice su entorno PCI externo para validarlo. Al realizar los cambios anteriores, los análisis del ASV no deberían marcar ni rechazar las siguientes vulnerabilidades:
- El servidor SSL admite cifrado débil
- El servidor SSL permite el cifrado de texto sin formato
- El servidor SSL puede verse obligado a utilizar un cifrado débil
- El servidor SSL permite la autenticación anónima
