Индустрия платежных карт окончательно откажется от SSL

Эксперты международного Совета по стандартам безопасности данных индустрии платежных карт (PCI DSS) подтвердили, что их обновленный стандарт безопасности данных (DSS 3.1) позволяет компаниям отказаться от SSL-шифрования, которое больше не считается достаточно сильным.

Отказ от устаревшего стандарта в пользу PCI DSS 3.1 является своего рода ответом на обнаружение уязвимостей Heartbleed, Shellshock и Poodle, а также на появление множества вредоносных инструментов, эксплуатирующих эти и другие бреши в SSL.

Отметим, что SSL-шифрование было признано более не соответствующим требованиям индустрии специалистами Национального института стандартов и технологий США (NIST). По их словам, теперь данный стандарт не стоит расценивать, как сильную криптографическую защиту. При этом привычная технология зашифрованной связи между web-сервером и браузером должна быть заменена протоколом Transport Layer Security (TLS).

Комментируя ситуацию в PCI DSS также отметили, что большинство организаций «не нужно будет переиздавать свои доверенные сертификаты».