TLS 1.2 - Pitanja i Odgovori

Šta je TLS?

Transport Layer Security (TLS) predstavlja protokol za enkripciju koji se koristi za komunikaciju izbeđu dva sistema. Ovaj protokol je nasledio poznati Secure Sockets Layer (SSL) protokol još 2000-te godine. TLS v1.0 je kasnije zamenjen verzijama TLS v1.1 i TLS v1.2.

U skladu sa standardima PCI DSS v3.1 i v3.2, protokol SSL kao i prvobitni TLS (TLS v1.0) protokoli se više ne smatraju dovoljno snažnim protokolima za enkripciju. Ovo najviše zbog uočenih ranjivosti u navedenim protokolima za koje ne postoji aktuelno rešeje. Iako se TLS v1.1 i kasniji protokoli smatraju PCI usklađenim, preporuka je da se što je pre moguće, prebaci na TLS v1.2 .

Savet za primenu PCI bezbednosnih standarda je dao obavezujuću instrukciju da sve postojeće instance SSL i starijih TLS protokola moraju biti unapređene na bezbedne verzije TLS-a. AllSecure je sa svoje strane postavio sebi zadatak da naš sistem bude usklađen sa ovim zahtevima do 31. Marta 2018. godine. Više informacija o razlozima za ovu migraciju se mogu pronaći na zvaničnom sajtu PCI saveta.

Da li se ovo tiče moje organizacije?

Svaka komunikacija koju naši korisnici budu imali sa našom platformom (Payment Gateway) nakon 31. marta 2018. godine će biti isključivo preko TLS v1.2 protokola. Nakon tog datuma, AllSecure će  onemogućiti TLS v1.0 i v1.1 protokole na svojoj platformi. Korisnici koji nakon tog roka ne budu podržavali TLS v1.2 više neće moći da se povežu na našu platformu, te neće imati pristup uslugama uključujući i slanje zahteva za transakcijama plaćanja. Vrste šifrovanja (cipher) koje će biti podržane nakon navedenog datuma možete pronaći na sledećem linku. Korisnici bi trebalo da podrže neku od dostupnih šifri sa navedene liste kako bi mogli da se normalno povezuju na AllSecure Payments Gateway.

Pored navedenog, TLS v1.0 i TLS v1.1 će takođe biti onemogućene za komunikaciju sa drugim online alatima. Korisnici će moći da koriste samo kompatibilne pretraživače ( vidi listu ) kako bi nastavili da imaju pristup našim online poslovnim alatima. AllSecure će već od Januara 2018. godine onemogućiti TLS v1.0 i  v1.1 na svojim testnim okruženjima, kao jednu vrstu pripreme za ovu promenu 

U slučaju da naša organizacija ne podržava TLS v1.2, šta bi trebalo da uradimo sledeće?

Ukoliko vaš sistem koji se povezuje na naš Payment Gateway još uvek koristi TLS v1.1 ili starije protokole, potrebno je da ažurirate svoj sistem i unapredite ga na TLS v1.2. A kako su evidentne ranjivosti ranijih protokola, predlažemo da se ovo unapređenje uradi što je pre moguće. U nastavku se nalaze vrste šifrovanja koje će biti podržane nakon 31. marta 2018. Proverite da li vaš sistem podržava neke od sledećih: 

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Ideja ranijeg prelaska našeg testnog okruženja (3 meseca ranije) na TLS v1.2 je u tome da će vaša organizacija moći da testira efekat ove promene pre same implementacije na produkcionom sistemu. Posebno naglašavamo da ovaj mandat ne važi samo za korisnike AllSecure sistema, već za sve PCI sertifikovane Payment Gateway sisteme, kao i sve trgovce počev od 30. juna 2018.

Kako da znamo da li ja već sada podržavamo TLS v1.2?

Od januara 2018, godine, AllSecure će onemogućiti TLS v1.1 i ranije protokole na svom testnom okruženju. Od tog momenta, možete testirati da li vaš sistem podržava TLS v1.2. U slučaju da ne budete imali problema na testnom okruženju, možete očekivati da neće biti problema ni na produkcionom okruženju nakon marta 2018. 

Takođe, predlažemo vam  da uradite sledeće:

  • Ukoliko svoju internet prodavnicu (ili sistem) hostujete kod nekog hosting provajdera, najbolje je da od njih tražite informaciju o tome da li podržavate TLS v1.2 i ukoliko ne, da ih zamolite da urade upgrade na navedeni protokol..
  • Ukoliko sami hostujete svoju internet prodavnicu (ili sistem), proverite kod svog administratora da li već podržavate TLS v1.2.
Pored navedenog, možete i sami testirati vaš sajt pomoću alatke na http://ssl-checker.online-domain-tools.com/

Već imamo instaliran sertifikat. Da li sada moramo da kupimo novi?

Verovatno ne. Većina novijih sertifikata već podržava TLS v.1.2 protokol i ukoliko sertifikat nije istekao, jedino će biti potrebno da vaš administrator ažurira vaš web sistem.

Šta ukoliko već koristimo TLS v1.2?

Ukoliko vaša organizacija već komunicira sa AllSecure platformom kroz TLS v1.2 protokol i ukoliko koristite neki od TLS v1.2 kompatibilnih pretraživača, nikakva dalja akcija nije potrebna sa vaše strane. 

Koji AllSecure sistemi će ukinuti podršku starim protokolima od 31. marta 2018. godine?

  • Portal Trgovca
  • Developer Portal, 
  • SECUREPAY API
  • XML
  • WPF (Web Payment Form)
  • ASYNC POST Payment
  • eTerminal, VT (Virtual Terminal)HPP (Hosted Payment Page)
  • Paypipe XML
  • Scheduler
  • Batch Processing
  • mPOS - mobile POS
  • Backchannel