PayU kończy wspieranie protokołu SSL 3.0

PayU przestanie wspierać protokół SSL 3

Operator płatności internetowych PayU od 16 stycznia 2015 roku zaprzestanie wspierania protokołu SSL 3.0 i prosi sklepy internetowe o zmianę na bezpieczniejszy certyfikat TLS 1.2.

Jak wyjaśnia PayU, zmiana jest podyktowana względami bezpieczeństwa. W powszechnie wykorzystywanym certyfikacie SSL 3.0, który jest zewnętrznym narzędziem chroniącym witryny internetowe, wykryto błąd. W efekcie coraz więcej firm zaczyna rezygnować z tego protokołu i przepina się na bezpieczniejszy TLS 1.2. Zmianę tę przeprowadza właśnie PayU, prawdopodobnie wprowadza ją także PayPal.

„Pudel” stanowi zagrożenie

Zmiana jest spowodowana ujawnionym niedawno przez Google atakiem na protokół SSL 3.0, nazwanym POODLE (Padding Oracle On Downgraded Legacy Encryption). Jak dowiadujemy się ze strony internetowej Rządowego Zespołu Reagowania na Incydenty Komputerowe, pozwala on atakującemu na odszyfrowanie danych przekazywanych za pomocą połączenia SSL 3.0.

„Większość zabezpieczonych połączeń używa protokołu TLS, który jest następcą protokołu SSL, lecz część przeglądarek internetowych i serwerów w przypadku, gdy występuje problem  z wynegocjowaniem sesji TLS, zaczyna korzystać z podatnego protokołu SSL 3.0, tym samym narażając użytkowników na atak.”

Zabezpieczyć transakcje

W związku z tym, witryny wykorzystujące certyfikat SSL 3.0 są narażone na tego typu ataki, nawet wtedy, gdy wspierają TLS. Zaleca się więc wszystkim uczestnikom rynku wyłączenie obsługi protokołu SSL 3.0.

„Kwestia bezpieczeństwa dokonywanych transakcji jest dla nas bezdyskusyjna. W związku z tym, że 16 października 2014 r. został wykryty poważny błąd w protokole SSL 3.0, czyli powszechnie stosowanym zewnętrznym narzędziu chroniącym witryny internetowe, podjęliśmy decyzję, że PayU przestanie wspierać ten protokół.  W trosce o najwyższe bezpieczeństwo wszystkich transakcji zamienimy go na nowszy i bezpieczny protokół TLS 1.2.” – wyjaśnia Justyna Grzyl z PayU.

Zalecane działania

Partnerom PayU, którzy zintegrowali system płatności poprzez platformę sklepową, zaleca się kontakt z dostawcą oprogramowania w celu potwierdzenia, że protokół SSL 3.0 został wyłączony. Sklepy, które bazują na własnym oprogramowaniu proszone są o poinformowanie o sytuacji działów IT i zamianę SSL 3.0 na TLS 1.2 w obszarze integracji z PayU.

„Zapewniamy jednocześnie, iż dotychczas nie zaobserwowaliśmy w naszym systemie żadnych incydentów związanych z błędem występującym w wycofywanym protokole SSL 3.0.” – dodaje Justyna Grzyl.

Tagi:

Reklama

SCF 2017 Spring