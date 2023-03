Conformidad con el estándar de seguridad de datos PCI y certificados SSL/TLS de Cloudflare

​​ Información general

Debido a vulnerabilidades conocidas, las versiones del protocolo TLS 1.0 y 1.1 no son suficientes para proteger la información. En lo que respecta a los clientes de Cloudflare, el impacto principal del estándar PCI es que estas versiones del protocolo son insuficientes para asegurar el tráfico relacionado con tarjetas de pago.

Los estándares de PCI recomiendan el uso del protocolo TLS 1.2. o superior.

También puedes consultar las medidas de mitigación que implementa Cloudflare contra las vulnerabilidades External link icon Open external link del protocolo TLS en las versiones 1.0 y 1.1.

​​ Set Minimum TLS Version to 1.2

To configure your Cloudflare domain to only allow connections using TLS 1.2 or newer protocols:

1. Log in to the Cloudflare dashboard.

2. Click the appropriate Cloudflare account and application.

4. Navigate to SSL/TLS > Edge Certificates.

5. For Minimum TLS Version, select TLS 1.2 or higher.

​​ Mitigaciones de Cloudflare contra vulnerabilidades TLS conocidas

Cloudflare lleva a cabo varias mitigaciones contra vulnerabilidades conocidas para versiones TLS previas a 1.2. Por ejemplo, Cloudflare no es compatible con:

Compresión de encabezado en TLS Compresión de encabezado en SPDY 3.1 RC4 SSL 3.0 Renegociación con clientes Suites de cifrado DHE Cifrados para exportación

Las mitigaciones de Cloudflare brindan protección contra los siguientes ataques:

CRIME

BREACH

POODLE

Vulnerabilidades criptográficas de RC4

Ataque de renegociación SSL

Ataques de degradación de protocolo

FREAK

LogJam

3DES está deshabilitado por completo para TLS 1.1 y 1.2 y Cloudflare implementa mitigaciones para TLS 1.0

Cloudflare proporciona mitigaciones adicionales para:

Heartbleed

Trece con suerte

Vulnerabilidad de inyección CCS

Cloudflare ha aplicado parches contra estas vulnerabilidades en todos los servidores. Además, existen reglas administradas del WAF que mitigan varias de estas vulnerabilidades como Heartbleed y ShellShock.

​​ Retorno de la amenaza del oráculo de Bleichenbacher (ROBOT)

Los análisis de seguridad que notan la presencia de ROBOT en Cloudflare son un falso positivo. Cloudflare controla el relleno (padding) en tiempo real y cambia a una clave de sesión aleatoria si este es incorrecto.

Una vulnerabilidad en el uso del algoritmo de encriptación Triple DES (3DES) en el protocolo Transport Layer Security (TLS). Sweet32 es actualmente un ataque de prueba de concepto, del que no hay casos conocidos circulando libremente. Cloudflare ha mitigado manualmente la vulnerabilidad de TLS 1.0 de la siguiente manera: