Эксперты международного Совета по стандартам безопасности данных индустрии платежных карт (PCI DSS)подтвердили, что их обновленный стандарт безопасности данных (DSS 3.1) позволяет компаниям отказаться от SSL-шифрования, которое больше не считается достаточно сильным.
Отказ от устаревшего стандарта в пользу PCI DSS 3.1 является своего рода ответом на обнаружение уязвимостей Heartbleed, Shellshock и Poodle, а также на появление множества вредоносных инструментов, эксплуатирующих эти и другие бреши в SSL. Отметим, что SSL-шифрование было признано более не соответствующим требованиям индустрии специалистами Национального института стандартов и технологий США (NIST). По их словам, теперь данный стандарт не стоит расценивать, как сильную криптографическую защиту. При этом привычная технология зашифрованной связи между web-сервером и браузером должна быть заменена протоколом Transport Layer Security (TLS). Комментируя ситуацию в PCI DSS также отметили, что большинство организаций “не нужно будет переиздавать свои доверенные сертификаты”. (Новости/NovostIT)