‘Uitstel deadline SSL-migratie is niet verstandig’

Medio december maakte de Payment Card Industry Security Standards Council (PCI SSC) bekend dat de deadline voor het migreren van de SSL en TLS 1.0 encryptieprotocollen naar veiligere TLS-versies wordt uitgesteld naar 30 juni 2018. Ondanks de daaraan verbonden risico’s. Kevin Bocek, VP of Security Strategy & Threath Intelligence bij Venafi vindt dit geen verstandige beslissing.

“Wij begrijpen de technische en organisatorische complexiteit gerelateerd aan het migreren naar TLS en Venafi helpt klanten deze doelstelling snel te realiseren. Bedrijven die nog niet begonnen zijn, doen er verstandig aan alsnog snel afscheid te nemen van SSL-encryptie. Het gebruik daarvan geeft namelijk cybercriminelen de gelegenheid ontdekte kwetsbaarheden te misbruiken voor onterecht vertrouwen.

De mogelijkheden SSL te misbruiken nemen dagelijks toe. Daarom is het uitstel van de migratiedeadline naar 2018 niet verstandig. Nu krijgen cybercriminelen twee en een half jaar langer de kans om mensen te misleiden, systemen te infiltreren en informatie te stelen. In een periode dat steeds meer organisaties encryptie omarmen om daarop hun vertrouwen te baseren. Heartbleed, Shellshock en POODLE waren wake-up calls voor de noodzaak sleutels en certificaten beter te beveiligen. Als de markt niet snel afstapt van SSL, is het wachten op het volgende Heartbleed of POODLE incident, met wellicht grotere schade.

SSL is dood, daarom moeten we de toepassingen daarvan zo snel mogelijk vervangen door het sterkere TLS, los van de PCI Security Council beslissing. Om bedrijven, overheden en de wereldwijde economie te verdedigen, is het verstandiger proactief actie te ondernemen in plaats van klakkeloos compliance richtlijnen te volgen. Zo snel mogelijk migreren naar TLS maakt deel uit van die verantwoordelijkheid.”