ארגון ה-PCI, המאגד את חברות כרטיסי האשראי העולמיות הגדולות, יצא בהצהרה כי פרוטוקול ה-SSL אינו יכול עוד להיחשב כבטוח באופן מספק בכדי לבצע תשלומים באינטרנט...
ולשמש כפרוטוקול הצפנת הנתונים בין הלקוח לבין אתר המכירות המקוון.
בהודעה האחרונה שהפיץ הארגון באמצע פברואר נכתב כי בכוונת הארגון לבצע בקרוב שינויים ועדכונים בגרסה העדכנית של התקן (גירסה 3.0 אשר נכנסה לתוקף ב-1 בינואר 2015), כאשר לפחות חלק מעידכונים אלו קשורים ישירות לבעיות האבטחה ב-SSL.
מבחינת ארגון ה-PCI, בשל מספר פגיעויות שנתגלו בפרוטוקול לאחרונה, אף גרסה של הפרוטוקול אינה עונה כיום על ההגדרה "הצפנה חזקה" - ועל כן נדרשים מבחינתם עדכונים בתקן עצמו.
בהודעה נאמר עוד כי בימים אלו עובד הארגון אל מול בכירים בתעשיה בכדי להבין אילו השלכות עלולות להיות על חברות וארגונים אשר נדרשים לעמוד בתקן בשל השינויים המוצעים בתקן.
התקן החדש - גרסה 3.1 - ייכנס לתוקף בקרוב, אולם הארגון יאפשר לחברות ולארגונים אשר יושפעו מן השינויים פרק זמן נוסף בכדי להטמיע את השינויים.
פרוטוקול ה-SSL, אשר נמצא מזה שנים רבות בשימוש נרחב לצרכי תעבורות מוצפנות וביצוע פעולות מאובטחות באינטרנט נמצא בשנה האחרונה תחת מתקפה מצד מומחי אבטחה, בשל גילויין של פרצות האבטחה החמורות Heartbleed, Shellshock ו-Poodle; היקף השימוש בו יורד - בעוד השימוש בפרוטוקול המאובטח יותר TLS נמצא בעליה מתמדת מבחינת נפח הפעילות בו בתעבורות HTTPS מאובטחות.
גרסת ה-SSL הראשונה הופצה ע"י Netscape לפני כ-20 שנה, אולם בשנים האחרונות גדל בהדרגה השימוש ב-TLS - המאובטח יותר.
לידיעה המלאה - כאן
להודעת ארגון ה-PCI - כאן