Verwenden Sie TLS älter als 1.2?  Das ist in Ordnung, Wartungsupdates können jedem passieren.  Wir verstehen das.  Es ist jedoch an der Zeit, weiterzumachen.

Erinnern Sie sich noch an Juni 2018, als wir die Verwendung von TLS 1.0 abgeschafft haben? Wenn nicht, ist das in Ordnung, Sie können alles darüber in diesem Beitrag nachlesen.  Nun, hier sind wir, 2 Jahre später und die nächste Version steht kurz davor, zurückgestellt zu werden, also möchten wir, dass Sie vorbereitet sind und Unterbrechungen im Service vermeiden.  Dieser Beitrag dreht sich darum, Sie darauf vorzubereiten, ohne die Verwendung von TLS 1.1 auszukommen, damit wir den Zugang nur auf TLS 1.2 beschränken können.  Wir werden Ihnen zeigen, wie Sie Ihre aktuelle Version überprüfen und auf die neueste Version aktualisieren können.  Nur aus Spaß würden wir wirklich gerne Ihr Feedback hören und Sie zu einer "Wall of Awesomeness" hinzufügen, die all diese sicherheitsbewussten Unternehmen zeigt, die den Wechsel früh vollziehen.

Beeinträchtigt mich das?

Im Jahr 2018 haben wir unsere Kunden gebeten, ein Upgrade durchzuführen, und TLS 1.2 wird schon seit einiger Zeit empfohlen, daher ist es sehr wahrscheinlich, dass Sie NICHT betroffen sind.  Wenn Sie jedoch eine Methode verwenden, um Nachrichten (SMTP oder REST API) einzuspeisen oder Daten (Metriken oder Webhooks usw.) zu sammeln, dann sollten Sie jetzt wirklich überprüfen, ob Ihr System TLS 1.2 unterstützen kann.  Stellen Sie sicher, dass Sie die folgenden Tests auf den Servern durchführen, die tatsächlich mit SparkPost verbunden sind.  

Warum ist es wichtig?

1. SparkPost wird nach September 2020 keine Verbindungen über TLS 1.1 akzeptieren

2. Ältere Versionen sind nicht sicher

3. TLS 1.2 wird seit über einem Jahrzehnt als das empfohlene Protokoll angesehen

4. Alle coolen Kids machen es

5. IETF sagt, dass es offiziell abgeschafft ist

Warum jetzt?

Eigentlich sollte die Frage lauten: “Warum unterstützen Sie es noch?”  TLS 1.2 ist seit über einem Jahrzehnt der empfohlene Sicherheitsstandard und wir sind kurz davor, dass tatsächlich niemand mehr Unterstützung für alles unter TLS 1.2 bietet. Es ist an der Zeit, dass schwache HTTPS-Unterstützung stirbt, und zwar ein für alle Mal.  Wenn Sie TLS 1.1 nach März 2020 weiterhin verwenden, wird es schwierig sein, eine Verbindung zu den meisten Diensten herzustellen.  SparkPost hat ausreichend Zeit gegeben, um dies zu aktualisieren, und nun senden wir endgültige Hinweise, um sicherzustellen, dass dies vor September, wenn wir es endgültig abschalten, aktualisiert wird.

Aber wie, bitte schön, können Sie es beheben?

Es ist sehr wahrscheinlich, dass Ihr IT-SysAdmin oder WebAdmin dies bereits als Teil ihrer normalen Wartung für Sie erledigt hat.  Wenn ja, sollten Sie ihnen ein Bier kaufen und Danke sagen.  Wenn nicht, können Sie einige der folgenden Schritte befolgen, um es in Linux, Windows und Mac zu erledigen.

Bitte beachten Sie, dass wir in diesem Dokument mit dem US-SparkPost-Endpunkt testen werden.

Wenn Sie normalerweise das europäische Deployment verwenden, sollten Sie stattdessen den EU-Endpunkt verwenden.

Wie können Sie überprüfen? (Linux-Version)

Zuerst lassen Sie uns überprüfen, ob Ihr freundlicher Nachbarschafts-SysAdmin dies bereits für Sie erledigt hat. Dies ist tatsächlich Teil der SSL-Konfiguration, sodass es in Ihrer Systemkonfiguration verwaltet werden kann.  Vorausgesetzt, Sie verwenden Linux, besteht die aussagekräftigste Methode darin, nmap zu verwenden, aber Sie können auch openssl verwenden.  Sie können nmap mit Linux, Windows und Mac verwenden, aber wir werden auch andere Methoden für Windows und Macs erkunden, falls Sie keine neue Software installieren möchten.

Um dies mit nmap zu tun, testen Sie die Chiffren gegen einen bekannten HTTPS-Host.  Da es darum geht, sicherzustellen, dass wir sicher mit SparkPost verbunden sind, lassen Sie uns gegen diesen Endpunkt testen. Stellen Sie sicher, dass Sie die folgenden Tests auf den Servern durchführen, die tatsächlich mit SparkPost verbunden sind. 

nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com

Das wurde auf meinem eigenen Entwicklungsserver durchgeführt, und Sie können leicht sehen, dass meine Konfiguration TLS 1.1 und 1.2, aber nicht 1.3 unterstützt. Es ist wichtig zu beachten, dass AWS ALBs und daher SparkPost-Verbindungen noch nicht TLS 1.3 unterstützen, aber es ist auf dem AWS-Fahrplan.

Starte Nmap 6.40 ( http://nmap.org ) am 2020-05-06 22:41 UTC Nmap-Scanbericht für api.sparkpost.com (52.13.246.255) Host ist online (0.00059s Latenz). Andere Adressen für api.sparkpost.com (nicht gescannt): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS-Datensatz für 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATUS SERVICE 443/tcp offen https | ssl-enum-ciphers: | TLSv1.1: | Chiffren: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - stark | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - stark | TLS_RSA_WITH_AES_128_CBC_SHA - stark | TLS_RSA_WITH_AES_256_CBC_SHA - stark | Kompressoren: | NULL | TLSv1.2: | Chiffren: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - stark | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - stark | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - stark | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - stark | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - stark | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - stark | TLS_RSA_WITH_AES_128_CBC_SHA - stark | TLS_RSA_WITH_AES_128_CBC_SHA256 - stark | TLS_RSA_WITH_AES_128_GCM_SHA256 - stark | TLS_RSA_WITH_AES_256_CBC_SHA - stark | TLS_RSA_WITH_AES_256_CBC_SHA256 - stark | TLS_RSA_WITH_AES_256_GCM_SHA384 - stark | Kompressoren: | NULL |_ geringste Stärke: stark Nmap abgeschlossen: 1 IP-Adresse (1 Host online) in 0.11 Sekunden gescannt

Zu diesem Zeitpunkt können Sie tatsächlich aufhören, wenn Sie möchten, denn es geht darum, sicherzustellen, dass Sie eine Verbindung zu SparkPost mit TLS 1.2 herstellen können.  Wenn Ihre Verbindung TLS 1.2 unterstützt, ist das alles, was wir zu diesem Zeitpunkt brauchen, also sind wir hier alle gut.  Kaufen Sie diesem SysAdmin ein Bier und sagen Sie Danke.

Schicken Sie uns eine E-Mail und lassen Sie uns wissen, dass Sie erfolgreich waren.

Überprüfung der Unterstützung auf Ihrem Mac

Der häufigste Grund, warum Sie möglicherweise die Unterstützung auf Ihrem Mac überprüfen müssen, ist, dass Sie ihn für die lokale Entwicklung verwenden. Lassen Sie uns das annehmen und nach Ihrer Unterstützung suchen. 

Die am wenigsten invasive Methode besteht darin, curl zu verwenden, das in jedem Mac eingebaut sein sollte. Starten Sie die Terminalanwendung und verwenden Sie das Protokollflag, um speziell nach TLS 1.2 zu testen.

curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Versuche 54.213.185.174... * TCP_NODELAY gesetzt * Verbunden mit api.sparkpost.com (54.213.185.174) Port 443 (#0) * ALPN, bietet h2 an * ALPN, bietet http/1.1 an * Chiffrauswahl: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * erfolgreich Zertifikat-Verifizierungsorte gesetzt: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS-Handschlag, Client-Hallo (1): * TLSv1.2 (IN), TLS-Handschlag, Server-Hallo (2): * TLSv1.2 (IN), TLS-Handschlag, Zertifikat (11): * TLSv1.2 (IN), TLS-Handschlag, Server-Schlüsselaustausch (12): * TLSv1.2 (IN), TLS-Handschlag, Server-finished (14): * TLSv1.2 (OUT), TLS-Handschlag, Client-Schlüsselaustausch (16): * TLSv1.2 (OUT), TLSwechsel der Chiffre, Client-Hallo (1): * TLSv1.2 (OUT), TLS-Handschlag, Fertig (20): * TLSv1.2 (IN), TLSwechsel der Chiffre, Client-Hallo (1): * TLSv1.2 (IN), TLS-Handschlag, Fertig (20): * SSL-Verbindung mit TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, Server akzeptiert die Nutzung von h2 * Serverzertifikat: * Betreff: CN=*.sparkpost.com * Startdatum: 30. Jan 00:00:00 GMT 2020 * Ablaufdatum: 28. Feb 12:00:00 GMT 2021 * subjectAltName: Host "api.sparkpost.com" stimmte mit dem Zertifikat "*.sparkpost.com" überein * Aussteller: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL-Zertifikat-Überprüfung hat bestanden. * HTTP/2 verwenden, der Server unterstützt Mehrfachnutzung * Verbindungsstatus geändert (HTTP/2 bestätigt) * Kopieren von HTTP/2-Daten in den Streampuffer nach Upgrade: len=0 * Verwendet Stream-ID: 1 (einfache Verbindung 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: */* > * Verbindungsstatus geändert (MAX_CONCURRENT_STREAMS aktualisiert)! < HTTP/2 200 < Datum: Do, 07. Mai 2020 15:14:30 GMT < Inhaltstyp: text/plain < Inhaltlänge: 95 < Server: msys-http < * Verbindung #0 zum Host api.sparkpost.com bleibt unberührt. Hey! Sie sollten zu uns kommen und großartige Dinge bauen!

Wenn Sie die SMTP-Verbindung testen möchten, können Sie dies auch mit diesem Befehl tun:

openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587

Das gibt eine Menge Daten zurück, einschließlich:

SSL-Session: Protokoll: TLSv1.2 Chiffre: ECDHE-RSA-AES256-GCM-SHA384

Überprüfung der Unterstützung in Windows

Ähnlich wie beim Mac-Gebrach ist der häufigste Grund, warum Sie möglicherweise die Unterstützung in Ihrem Windows überprüfen müssen, dass Sie es für die lokale Entwicklung verwenden, also nehmen wir das an und überprüfen Ihre Unterstützung. 

Windows 7 und Windows 10 verwenden im Grunde denselben Prozess.  Wenn Sie eine frühere Version verwenden, aktualisieren Sie bitte, da frühere Versionen TLS 1.2 nicht unterstützen.

Starten Sie, indem Sie START in der unteren linken Ecke (normalerweise) klicken.

Geben Sie „Internetoptionen“ ein und wählen Sie das entsprechende Ergebnis aus der Liste.

Klicken Sie auf die Registerkarte Erweitert und scrollen Sie dann bis ganz nach unten. Wenn TLS 1.2 aktiviert ist, sind Sie bereits bereit. Wenn nicht, aktivieren Sie bitte das Kontrollkästchen neben Verwenden von TLS 1.2 und klicken Sie dann auf Übernehmen.

Warte, was? Kein 1.2? 

Schade, mein Freund.  Ihre Arbeit ist noch nicht erledigt.

Wenn Sie nur TLS 1.1 haben, sollten Sie Ihre Chiffre-Einstellungen aktualisieren.

Vorausgesetzt, Sie verwenden Linux und Apache zur Verwaltung der TLS-Verbindung, können Sie die SSL-Konfiguration aktualisieren, indem Sie diese Zeile ändern, um „+TLSv1.2 “ hinzuzufügen:

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2 

(Nebenbei: Da sie inzwischen wirklich nirgendwo mehr unterstützt werden, macht es Sinn, die 1.0- und 1.1-Einstellungen ebenfalls zu entfernen, während Sie dabei sind.)

Diese Konfiguration befindet sich typischerweise in /etc/httpd/conf.d/ssl.conf 

Starten Sie Apache neu und Sie sind bereit zur Nutzung. 

service httpd restart

Wenn Sie Nginx verwenden, möchten Sie diese Zeile ähnlicher Art ändern:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Diese Konfiguration befindet sich typischerweise in /etc/nginx/conf.d/ 

Starten Sie Nginx neu und Sie sind bereit zur Nutzung. 

service nginx restart

Wenn Sie bei dem Neustart auf Fehlermeldungen stoßen, könnten Sie eine veraltete SSL-Bibliothek haben.  Stellen Sie sicher, dass Sie mindestens OpenSSL v1.0.1g verwenden.

Wenn Sie Windows verwenden, finden Sie die Anweisungen zum Einrichten von TLS 1.2 im Abschnitt „Überprüfung der Unterstützung in Windows“ oben.

Sind Sie jetzt fertig? Schicken Sie uns eine E-Mail und lassen Sie uns wissen, dass Sie erfolgreich waren.

Ein Schritt weiter gehen

Warum bei TLS 1.2 stoppen, wenn Sie wissen – Sie wissen einfach – dass wir alle in den nächsten ein oder zwei Jahren auf TLS 1.3 umsteigen müssen? Warum nicht einfach auf TLSv1.3 umsteigen, während wir dabei sind?

Leider unterstützen AWS ALBs noch kein TLS 1.3, sodass Ihre Verbindung zu SparkPost und jedem anderen AWS-Dienst, der die ALB-Schicht verwendet, weiterhin auf TLS 1.2 beschränkt bleibt. Persönlich denke ich dennoch, dass es eine gute Idee ist, sich einen Schritt voraus zu sein und auf 1.3 zu aktualisieren, während Sie ohnehin Änderungen vornehmen. 

Wenn Sie TLS 1.3-Unterstützung hinzufügen möchten, müssen Sie wahrscheinlich zuerst Ihre OpenSSL-Bibliothek auf V1.1.1 oder höher aktualisieren und dann +TLSv1.3  zur oben genannten Protokollzeile hinzufügen.  Ähnliche Anweisungen finden Sie hier auch für Nginx und Cloudflare.

Bleiben Sie sicher da draußen

Abschließend wäre es großartig, wenn Sie uns eine kurze E-Mail senden, um uns wissen zu lassen, dass Sie bestätigt haben, dass Sie TLS 1.2-fähig sind.  Wir möchten wirklich niemanden abtrennen, und das endgültige Datum ist September 2020.  Wenn wir wissen, dass Sie sich alle im sicheren Bereich befinden, fühlen wir uns viel besser dabei, die alte Unterstützung abzuschalten.