Especificamente, seu site deve usar TLS v1.1 no mínimo . No entanto, é fortemente encorajado que você use o TLS v1.2.
Se você ainda estiver usando o SSL ou uma versão mais antiga do TLS nesse momento, você violará o PCI Data Security Standard (PCI DSS) para comunicações de pagamento seguro.
Aqui está o que você precisa saber sobre a segurança do site e esse próximo prazo.
SSL e TLS
Primeiro, é bom entender o plano de fundo de SSL (Secure Sockets Layer) e TLS (Transport Security Layer).
Para fins práticos, você pode usar ambas as siglas de forma intercambiável. Sim, são tecnicamente diferentes, mas quando se discute em alto nível (o que estamos fazendo aqui), é seguro se referir a eles como um e o mesmo.
O SSL foi desenvolvido pela Netscape (lembre-se dessa empresa?) De volta na década de 1990. A primeira versão apresentada ao público foi de 2,0.
Em um esforço para reforçar ainda mais a segurança das comunicações, o Netscape lançou v3.0. Infelizmente, porém, essa versão introduziu uma vulnerável vulnerabilidade de segurança, hilariantemente chamada “Caniche”.
Após esse fiasco, a Internet Engineering Task Force (IETF) moveu-se para adotar o protocolo SSL. Essa moção foi concedida, e a organização renomeou-a para TLS.
A primeira versão do protocolo TLS foi lançada em 1999. A última versão é 1.2.
Segurança do site: como funciona
Webmasters e empresas dotcom reconhecidas no início da segurança do site que seria importante no comércio eletrônico. Sem segurança, como os clientes podem fornecer seus dados de cartão de crédito em confiança?
Digite criptografia SSL / TLS. Esse é um meio de codificar os dados transmitidos ao longo do fio para que os espiões digitais só vejam uma confusão de caracteres em vez de números de cartão de crédito.
Os protocolos de segurança também oferecem confiança de que os clientes da web estão se comunicando com servidores confiáveis. Eles fazem isso com certificados digitais.
Você pode pensar em certificados digitais como assinaturas de alta tecnologia.
Veja como tudo funciona: quando um cliente se conecta a um servidor, o primeiro passo é uma negociação . Isso é basicamente um aperto de mão digital.
A negociação começa pela comunicação ao nível de segurança mais alto possível. Se isso não estiver disponível, então eles tentam níveis mais baixos de segurança até encontrar um que ambos possam concordar.
Uma vez que eles concordam em um protocolo, começa a comunicação segura.
Old TLS e SSL: Broken Beyond Repair
Como vimos, SSL e TLS evoluíram ao longo dos anos. Infelizmente, essas versões mais antigas (SSL v2, SSL v3 e TLS v1.0) são interrompidas além do reparo.
Neste caso, “quebrado” significa que eles são vulneráveis a ameaças de segurança. E “além do reparo” significa que não existe nenhum patch disponível que consiga corrigir as versões anteriores do protocolo.
É por isso que você precisa garantir que você esteja usando TLS v1.1 ou TLS v1.2 em seu site. Se você não conseguir fazê-lo, não está apenas a infringir uma regra definida por uma organização de padrões, também está prejudicando a privacidade do cliente.
Se algum hacker aproveitar a lacuna de segurança em seu site, eles poderão roubar dados do cliente. Isso levará a uma imprensa muito ruim.
E, provavelmente, tribunal de falências.
Você precisa de uma verificação
Depois de ler isso, você pode estar se perguntando: “Como eu sei se meu site está em conformidade com o novo padrão?”
Infelizmente, não há uma resposta simples a essa pergunta.
Para iniciantes, se você possui uma equipe de desenvolvimento que esteja familiarizada com os protocolos de segurança, você deve perguntar se o seu servidor web está em risco. Eles podem ter que fazer alguma pesquisa (está tudo bem), mas eles podem ser capazes de lhe dizer em uma ordem bastante curta.
Se você estiver executando uma empresa muito pequena (ou se você é apenas uma loja de uma pessoa) que contratou a sua configuração HTTPS , talvez seja necessário entrar em contato com o provedor de hospedagem. Basta ligar para o suporte técnico e perguntar se o seu site estiver usando o TLS v1.2.
Tenha em mente que há uma boa chance de que você não precisará fazer nada se estiver usando um provedor de nuvem. Eles tendem a acompanhar todas as evoluções mais recentes e maiores em termos de segurança porque também não querem perder clientes.
Se você estiver executando seu site em uma plataforma Windows Server 2012, você pode descansar com facilidade. Esse sistema operacional já desabilitou os protocolos inseguros.
Por outro lado, se você estiver executando seu site em um dos sabores do UNIX, você terá que fazer alguma pesquisa. Nesse caso, provavelmente você está usando o OpenSSL para segurança do site. Você terá que verificar a versão do OpenSSL que está usando e depois consultar o changelog para ver se ele suporta um dos protocolos posteriores.
A melhor coisa a fazer, porém, é obter uma auditoria de segurança. Você pode fazer isso com um Vendedor de Varredura Aprovado (ASV).
O que é um ASV? É uma empresa com uma variedade de ferramentas que usa para verificar a segurança do seu site. Especificamente, pode certificar-se de que você está em conformidade com os padrões de segurança prevalecentes.
A boa notícia é que o PCI Security Standards Council possui uma lista de fornecedores de digitalização aprovados . A má notícia é que vai custar dinheiro para usar seus serviços.
Quanto dinheiro? Isso depende do negócio e da extensão da verificação. A maioria das empresas não anuncia o preço em seus sites para que você possa ter certeza de que não será barato.
Tenha em mente, no entanto, que muitos desses ASVs também são empresas que se especializam na implementação de protocolos de segurança. Como sempre há ameaças emergentes, você deve estabelecer uma relação comercial com um dos vendedores e usar essa empresa sempre que precisar de proteção adicional.
Search Console é seu amigo (novamente)
Tenha em mente que o Google Search Console também o alertará se você estiver usando um protocolo de segurança antigo e desatualizado.
Você ainda não viu uma notificação, mas agora que é 2018, você pode ter certeza de que receberá um aviso se não for compatível.
Como você pode verificar? Basta fazer o login no Google Search Console . Dê uma olhada em suas notificações.
Se você vir uma mensagem que lê: “Uma versão desatualizada do TLS está sendo usada no site”, então você precisa atualizar. Essa mensagem também pode poupar-lhe uma fortuna nas cobranças da ASV.
Ainda melhor: o Google lhe dirá exatamente o que você precisa fazer para atualizar seu protocolo de segurança. Basta seguir as instruções.
Se você não é um especialista em tecnologia, porém, você ainda precisará alistar a ajuda de um desenvolvedor.
Itens de ação
Se você achar que está usando um protocolo TLS antigo ou o protocolo SSL em seu site, aqui estão os passos que você deve seguir:
Atualize para TLS v1.1 – No mínimo, você deve executar TLS v1.1. É preferível, no entanto, se você usar TLS v1.2.
Patch TLS – Certifique-se de que sua versão do TLS esteja atualizada. Os hackers estão chegando com novas maneiras quase todos os dias para rachar até mesmo os padrões mais recentes. É por isso que você deve se certificar de que você não tenha apenas a versão mais recente , mas você tem o patch mais recente .
Configurar TLS – Um bom pouco de segurança na Web depende da configuração apropriada. Certifique-se de que o seu site suporta conjuntos de cifra TLS e tamanhos de chave.
Porém, acima de tudo, você deve acompanhar as últimas notícias em termos de segurança na web. Dessa forma, você pode garantir que seu site seja endurecido contra ameaças. É uma boa idéia marcar um site como o ThreatPost .
Claro, esse tipo de monitoramento e implementação leva tempo longe da missão de crescimento do seu negócio. É por isso que você deve considerar terceirizar a tarefa para uma equipe de segurança qualificada.
Lembre-se, no entanto: se você estiver usando um provedor de hospedagem na nuvem, essa empresa provavelmente já está fazendo a maior parte desse trabalho para você . Ou seja, afinal, o ponto inteiro de usar um provedor de hospedagem em nuvem.
Embrulhando-o
A segurança na Web é uma questão pouco importante. Se você deixar de levar a sério, você poderia sair do negócio. É por isso que você deve garantir que seu site seja compatível com os mais recentes padrões de segurança.