Mise à niveau vers TLS 1.2
Ingénierie
·
20 mai 2020
Points Clés
TLS 1.1 est officiellement obsolète. Bird (anciennement SparkPost) ne prend plus en charge les connexions utilisant TLS 1.1 après septembre 2020. Tous les systèmes doivent prendre en charge TLS 1.2 ou supérieur pour maintenir une connectivité sécurisée.
Pourquoi la mise à niveau est importante : TLS 1.2 est le protocole recommandé depuis plus d'une décennie. Il offre un chiffrement plus fort, de meilleures performances et une conformité avec les normes de sécurité modernes, tandis que les versions plus anciennes sont vulnérables aux attaques.
Comment vérifier votre système :
Linux : Utilisez nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com ou openssl pour vérifier la prise en charge du protocole.
macOS : Exécutez curl https://api.sparkpost.com/ --tlsv1.2 --verbose dans Terminal.
Windows : Accédez à Options Internet → Avancé et assurez-vous que « Utiliser TLS 1.2 » est coché.
Comment activer TLS 1.2 :
Sur Apache, mettez à jour la configuration SSL : SSLProtocol -all +TLSv1.2
Sur Nginx, modifiez ssl_protocols TLSv1.2 ; et redémarrez votre service.
Pourquoi pas encore TLS 1.3 ? Bien que TLS 1.3 soit la prochaine étape, les Application Load Balancers AWS (utilisés par SparkPost/Bird) ne le prenaient pas encore en charge à l'époque. Pourtant, mettre à niveau OpenSSL à v1.1.1+ vous prépare pour une transition future facile.
Reconnaissance des conscients de la sécurité. Bird a encouragé les premiers adoptants à partager leur succès de mise à niveau et à rejoindre leur « mur de l'excellence » — célébrant la conformité proactive à la sécurité.
Points forts des Q&A
Pourquoi TLS 1.2 est-il requis ?
Parce que les versions antérieures (1.0 et 1.1) sont non sécurisées et déconseillées par l'IETF. TLS 1.2 offre un chiffrement plus fort et une meilleure protection de l'intégrité pour les connexions API et SMTP.
Qui cela affecte-t-il ?
N'importe quel client se connectant à Bird (via REST API, SMTP, webhooks, ou points de terminaison de métriques) en utilisant une version TLS obsolète.
Comment puis-je tester ma connexion ?
Exécutez l'une des commandes de vérification pour votre système d'exploitation (Linux, macOS ou Windows). Si la sortie montre une poignée de main TLSv1.2 réussie, votre connexion est conforme.
Que se passe-t-il si je ne fais pas d'upgrade ?
Vos connexions échoueront une fois que TLS 1.1 sera désactivé. Vous perdrez la capacité d'envoyer des messages ou d'accéder aux APIs jusqu'à ce que votre système supporte TLS 1.2.
Puis-je activer TLS 1.3 maintenant ?
Vous pouvez le faire, mais cela peut ne pas encore être pris en charge par AWS ALBs. La mise à jour d'OpenSSL vers la version 1.1.1+ garantit la compatibilité lorsque TLS 1.3 sera disponible.
Do I need to change anything si j’utilise Bird via une bibliothèque ou SDK ?
La plupart des SDK modernes utilisent déjà par défaut TLS 1.2. Cependant, vérifiez la configuration SSL de votre environnement ou la version de la bibliothèque si elle est antérieure à la mi-2018.
Y a-t-il un moyen de confirmer le succès ?
Oui — après avoir testé votre connexion, Bird a invité les utilisateurs à envoyer un email de confirmation à leur équipe de support, vérifiant leur disponibilité avant la date limite.
Utilisez-vous une version de TLS antérieure à 1.2 ? Ce n'est pas grave, les retards de mise à jour de maintenance arrivent à tout le monde. Nous comprenons. Cependant, il est temps de passer à autre chose.
Vous vous souvenez en juin 2018 lorsque nous avons déprécié l'utilisation de TLS 1.0 ? Si vous ne vous en souvenez pas, c'est normal, vous pouvez tout lire à ce sujet dans cet article. Eh bien, nous y sommes, 2 ans plus tard et la prochaine version est sur le point d'être mise de côté, donc nous voulons que vous soyez préparé et évitiez toute interruption de service. Cet article est destiné à vous préparer à fonctionner sans l'utilisation de TLS1.1 afin que nous puissions restreindre l'accès à TLS1.2 uniquement. Nous allons vous expliquer comment vérifier votre version actuelle et comment passer à la dernière version. Juste pour le plaisir, nous aimerions vraiment avoir vos retours et vous ajouter à un “mur de l'impressionnant” avec toutes ces entreprises soucieuses de la sécurité qui ont effectué le changement tôt.
Vérification du support dans Windows
Similaire au cas d'utilisation sur Mac, la raison la plus courante pour laquelle vous pourriez avoir besoin de vérifier le support dans votre Windows est que vous l'utilisez pour le développement local, donc supposons cela et vérifions votre support.
Windows 7 et Windows 10 utilisent essentiellement le même processus. Si vous utilisez quelque chose de plus ancien, veuillez mettre à niveau car les versions antérieures ne prennent pas en charge TLS 1.2.
Commencez par cliquer sur DÉMARRER dans le coin inférieur gauche (habituellement).
Tapez "Options Internet" et sélectionnez la correspondance dans la liste résultante.
Cliquez sur l'onglet Avancé et à partir de là, faites défiler jusqu'en bas. Si TLS 1.2 est coché, vous êtes déjà prêt. Si ce n'est pas le cas, veuillez cocher la case à côté de Utiliser TLS 1.2 et ensuite Appliquer.
Cela me concerne-t-il ?
En 2018, nous avons demandé à nos clients de mettre à niveau, et TLS 1.2 a été la recommandation depuis un certain temps, il est donc très probable que vous ne soyez PAS affecté. Cependant, si vous utilisez une méthode pour injecter des messages (SMTP ou REST API) ou collecter des données (métriques ou webhooks, etc.), alors vous devriez vraiment vérifier maintenant pour vous assurer que votre système peut prendre en charge TLS 1.2. Assurez-vous de lancer les tests suivants sur les serveurs qui se connectent réellement à SparkPost.
Pourquoi c'est important
Pourquoi maintenant?
En fait, la question devrait être «pourquoi continuez-vous à le soutenir ?» TLS 1.2 a été la norme sécurisée recommandée pendant plus d'une décennie et nous sommes arrivés au point où presque personne n'offre de soutien pour quoi que ce soit en dessous de TLS1.2. Il est temps pour le soutien HTTPS faible de disparaître une fois pour toutes. Si vous utilisez encore TLS 1.1 après mars 2020, vous aurez du mal à vous connecter à la plupart des services. SparkPost a fourni suffisamment de temps pour effectuer cette mise à jour et maintenant nous envoyons les derniers avis pour effectuer cette mise à niveau avant septembre, lorsque nous l'éliminerons définitivement.
Mais comment, je vous prie, pouvez-vous le réparer ?
Il est très possible que votre IT SysAdmin ou WebAdmin l'ait déjà fait pour vous dans le cadre de leur maintenance habituelle. Si c'est le cas, vous devriez leur offrir une bière et dire merci. Sinon, vous pouvez suivre certaines des étapes ci-dessous pour l'effectuer sous Linux, Windows et Mac.
Notez qu'au cours de ce document, nous testerons avec le point de terminaison US SparkPost.
Si vous utilisez normalement le déploiement européen, vous devriez utiliser le point de terminaison EU à la place.
Comment pouvez-vous vérifier ? (version Linux)
Vérification du support sur votre Mac
Aller un pas plus loin
Pourquoi s'arrêter à TLS 1.2 quand vous savez – vous savez juste – que nous allons tous devoir passer à TLS 1.3 dans l'année ou les prochains mois. Pourquoi ne pas simplement passer à TLSv1.3 pendant qu'on y est ?
Malheureusement, les ALB d'AWS ne supportent pas encore TLS1.3, donc si vous mettez à jour votre configuration, votre connexion à SparkPost et à tout autre service AWS utilisant la couche ALB restera limitée à TLS1.2. Personnellement, je pense toujours que c’est une bonne idée d'anticiper et de passer à 1.3 pendant que vous apportez des modifications de toute façon.
Si vous souhaitez ajouter la prise en charge de TLS 1.3, vous devrez probablement mettre à jour votre bibliothèque OpenSSL d'abord à V1.1.1 ou ultérieure, puis ajouter +TLSv1.3 à la ligne de protocole mentionnée ci-dessus. Des instructions similaires peuvent être trouvées ici pour Nginx et Cloudflare également.
Restez en sécurité dehors
Enfin, ce serait formidable si vous pouviez nous envoyer un email rapide pour nous faire savoir que vous avez vérifié que vous êtes capable de TLS 1.2. Nous ne voulons vraiment pas couper qui que ce soit et la date limite est septembre 2020. Si nous savons que vous êtes tous en zone de sécurité, nous nous sentirons beaucoup mieux d'arrêter l'ancien support.
