Menaikkan versi ke TLS 1.2

Burung

20 Mei 2020

Rekayasa

1 min read

Menaikkan versi ke TLS 1.2

Poin Penting

    • TLS 1.1 secara resmi sudah tidak digunakan lagi. Bird (dulu SparkPost) tidak lagi mendukung koneksi menggunakan TLS 1.1 setelah September 2020. Semua sistem harus mendukung TLS 1.2 atau lebih tinggi untuk menjaga konektivitas yang aman.

    • Mengapa peningkatan ini penting: TLS 1.2 telah menjadi protokol yang disarankan selama lebih dari satu dekade. Ini menawarkan enkripsi yang lebih kuat, kinerja yang lebih baik, dan kepatuhan terhadap standar keamanan modern, sementara versi yang lebih lama rentan terhadap serangan.

    • Bagaimana cara memeriksa sistem Anda:

      • Linux: Gunakan nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com atau openssl untuk memverifikasi dukungan protokol.

      • macOS: Jalankan curl https://api.sparkpost.com/ --tlsv1.2 --verbose di Terminal.

      • Windows: Pergi ke Opsi Internet → Lanjutan dan pastikan “Gunakan TLS 1.2” dicentang.

    • Bagaimana cara mengaktifkan TLS 1.2:

      • Di Apache, perbarui konfigurasi SSL: SSLProtocol -all +TLSv1.2

      • Di Nginx, ubah ssl_protocols TLSv1.2; dan restart layanan Anda.

    • Mengapa belum TLS 1.3? Sementara TLS 1.3 adalah langkah maju berikutnya, AWS Application Load Balancers (yang digunakan oleh SparkPost/Bird) belum mendukungnya pada saat itu. Namun, meningkatkan OpenSSL ke v1.1.1+ siap untuk transisi masa depan yang mudah.

    • Pengenalan yang sadar akan keamanan. Bird mendorong para pengguna awal untuk membagikan keberhasilan peningkatan mereka dan bergabung dengan “tembok kehebatan” mereka — merayakan kepatuhan keamanan yang proaktif.

Sorotan Tanya jawab

  • Mengapa TLS 1.2 diperlukan?

    Karena versi sebelumnya (1.0 dan 1.1) tidak aman dan sudah tidak digunakan lagi oleh IETF. TLS 1.2 menawarkan enkripsi yang lebih kuat dan perlindungan integritas untuk koneksi API dan SMTP.

  • Siapa yang terpengaruh oleh ini?

    Setiap pelanggan yang terhubung ke Bird (melalui REST API, SMTP, webhook, atau titik akhir metrik) menggunakan versi TLS yang ketinggalan zaman.

  • Bagaimana saya dapat menguji koneksi saya?

    Jalankan salah satu perintah verifikasi untuk sistem operasi Anda (Linux, macOS, atau Windows). Jika output menunjukkan handshake TLSv1.2 yang berhasil, koneksi Anda sesuai.

  • Apa yang terjadi jika saya tidak memperbarui?

    Koneksi Anda akan gagal setelah TLS 1.1 dinonaktifkan. Anda akan kehilangan kemampuan untuk mengirim pesan atau mengakses API sampai sistem Anda mendukung TLS 1.2.

  • Bisakah saya mengaktifkan TLS 1.3 sekarang?

    Anda dapat, tetapi mungkin belum didukung oleh AWS ALB. Memperbarui OpenSSL ke v1.1.1+ memastikan kompatibilitas saat TLS 1.3 tersedia.

  • Apakah saya perlu mengubah apapun jika saya menggunakan Bird melalui perpustakaan atau SDK?

    Sebagian besar SDK modern sudah default ke TLS 1.2. Namun, verifikasi konfigurasi SSL lingkungan Anda atau versi pustaka jika lebih lama dari pertengahan 2018.

  • Apakah ada cara untuk mengonfirmasi keberhasilan?

    Ya — setelah menguji koneksi Anda, Bird mengundang pengguna untuk mengonfirmasi email ke tim dukungan mereka, memastikan kesiapan sebelum tanggal batas.

Apakah Anda menggunakan TLS yang lebih lama dari 1.2?  Tidak apa-apa, penundaan pembaruan pemeliharaan terjadi pada semua orang.  Kami mengerti.  Namun, saatnya untuk bergerak maju.

Ingat kembali pada bulan Juni 2018 ketika kami menghentikan penggunaan TLS 1.0? Jika Anda tidak ingat, tidak apa-apa, Anda dapat membaca semuanya di pos ini.  Nah, di sinilah kita, 2 tahun kemudian dan versi berikutnya akan diadakan, jadi kami ingin Anda siap dan menghindari gangguan layanan.  Pos ini sepenuhnya tentang mempersiapkan Anda untuk berjalan tanpa penggunaan TLS1.1 sehingga kami dapat membatasi akses hanya untuk TLS1.2.  Kami akan memandu Anda tentang cara memeriksa versi Anda saat ini dan cara meningkatkan ke versi terbaru.  Hanya untuk bersenang-senang, kami benar-benar ingin mendengar masukan Anda dan menambahkan Anda ke “dinding kehebatan” yang menampilkan semua perusahaan yang sadar keamanan yang melakukan perubahan lebih awal.

Apakah Anda menggunakan TLS yang lebih lama dari 1.2?  Tidak apa-apa, penundaan pembaruan pemeliharaan terjadi pada semua orang.  Kami mengerti.  Namun, saatnya untuk bergerak maju.

Ingat kembali pada bulan Juni 2018 ketika kami menghentikan penggunaan TLS 1.0? Jika Anda tidak ingat, tidak apa-apa, Anda dapat membaca semuanya di pos ini.  Nah, di sinilah kita, 2 tahun kemudian dan versi berikutnya akan diadakan, jadi kami ingin Anda siap dan menghindari gangguan layanan.  Pos ini sepenuhnya tentang mempersiapkan Anda untuk berjalan tanpa penggunaan TLS1.1 sehingga kami dapat membatasi akses hanya untuk TLS1.2.  Kami akan memandu Anda tentang cara memeriksa versi Anda saat ini dan cara meningkatkan ke versi terbaru.  Hanya untuk bersenang-senang, kami benar-benar ingin mendengar masukan Anda dan menambahkan Anda ke “dinding kehebatan” yang menampilkan semua perusahaan yang sadar keamanan yang melakukan perubahan lebih awal.

Apakah Anda menggunakan TLS yang lebih lama dari 1.2?  Tidak apa-apa, penundaan pembaruan pemeliharaan terjadi pada semua orang.  Kami mengerti.  Namun, saatnya untuk bergerak maju.

Ingat kembali pada bulan Juni 2018 ketika kami menghentikan penggunaan TLS 1.0? Jika Anda tidak ingat, tidak apa-apa, Anda dapat membaca semuanya di pos ini.  Nah, di sinilah kita, 2 tahun kemudian dan versi berikutnya akan diadakan, jadi kami ingin Anda siap dan menghindari gangguan layanan.  Pos ini sepenuhnya tentang mempersiapkan Anda untuk berjalan tanpa penggunaan TLS1.1 sehingga kami dapat membatasi akses hanya untuk TLS1.2.  Kami akan memandu Anda tentang cara memeriksa versi Anda saat ini dan cara meningkatkan ke versi terbaru.  Hanya untuk bersenang-senang, kami benar-benar ingin mendengar masukan Anda dan menambahkan Anda ke “dinding kehebatan” yang menampilkan semua perusahaan yang sadar keamanan yang melakukan perubahan lebih awal.

Memeriksa dukungan di Windows

Mirip dengan kasus penggunaan Mac, alasan paling umum Anda mungkin perlu memeriksa dukungan di Windows Anda adalah bahwa Anda menggunakannya untuk pengembangan lokal, jadi mari anggap itu dan periksa dukungan Anda. 

Windows 7 dan Windows 10 pada dasarnya menggunakan proses yang sama.  Jika Anda menggunakan versi yang lebih lama, silakan tingkatkan karena versi sebelumnya tidak mendukung TLS 1.2.

Mulailah dengan mengklik START di sudut kiri bawah (biasanya).

Ketik “Opsi Internet” dan pilih yang sesuai dari daftar yang dihasilkan.

Klik pada tab Lanjutan dan dari sana gulir ke bawah sampai ke bagian paling bawah. Jika TLS 1.2 dicentang, Anda sudah siap. Jika tidak, silakan centang kotak di samping Gunakan TLS 1.2 dan kemudian Terapkan.

Mirip dengan kasus penggunaan Mac, alasan paling umum Anda mungkin perlu memeriksa dukungan di Windows Anda adalah bahwa Anda menggunakannya untuk pengembangan lokal, jadi mari anggap itu dan periksa dukungan Anda. 

Windows 7 dan Windows 10 pada dasarnya menggunakan proses yang sama.  Jika Anda menggunakan versi yang lebih lama, silakan tingkatkan karena versi sebelumnya tidak mendukung TLS 1.2.

Mulailah dengan mengklik START di sudut kiri bawah (biasanya).

Ketik “Opsi Internet” dan pilih yang sesuai dari daftar yang dihasilkan.

Klik pada tab Lanjutan dan dari sana gulir ke bawah sampai ke bagian paling bawah. Jika TLS 1.2 dicentang, Anda sudah siap. Jika tidak, silakan centang kotak di samping Gunakan TLS 1.2 dan kemudian Terapkan.

Mirip dengan kasus penggunaan Mac, alasan paling umum Anda mungkin perlu memeriksa dukungan di Windows Anda adalah bahwa Anda menggunakannya untuk pengembangan lokal, jadi mari anggap itu dan periksa dukungan Anda. 

Windows 7 dan Windows 10 pada dasarnya menggunakan proses yang sama.  Jika Anda menggunakan versi yang lebih lama, silakan tingkatkan karena versi sebelumnya tidak mendukung TLS 1.2.

Mulailah dengan mengklik START di sudut kiri bawah (biasanya).

Ketik “Opsi Internet” dan pilih yang sesuai dari daftar yang dihasilkan.

Klik pada tab Lanjutan dan dari sana gulir ke bawah sampai ke bagian paling bawah. Jika TLS 1.2 dicentang, Anda sudah siap. Jika tidak, silakan centang kotak di samping Gunakan TLS 1.2 dan kemudian Terapkan.

Apakah ini memengaruhi saya?

Kembali pada tahun 2018 kami meminta pelanggan kami untuk memperbarui, dan TLS 1.2 telah menjadi rekomendasi untuk beberapa waktu, jadi sangat mungkin bahwa Anda TIDAK terpengaruh.  Namun, jika Anda menggunakan metode apa pun untuk menyuntikkan pesan (SMTP atau REST API) atau mengumpulkan data (metrik atau webhook, dll.), maka Anda benar-benar harus memeriksa sekarang untuk memastikan sistem Anda dapat mendukung TLS 1.2.  Pastikan Anda menjalankan pengujian berikut pada server yang benar-benar terhubung ke SparkPost.

Kembali pada tahun 2018 kami meminta pelanggan kami untuk memperbarui, dan TLS 1.2 telah menjadi rekomendasi untuk beberapa waktu, jadi sangat mungkin bahwa Anda TIDAK terpengaruh.  Namun, jika Anda menggunakan metode apa pun untuk menyuntikkan pesan (SMTP atau REST API) atau mengumpulkan data (metrik atau webhook, dll.), maka Anda benar-benar harus memeriksa sekarang untuk memastikan sistem Anda dapat mendukung TLS 1.2.  Pastikan Anda menjalankan pengujian berikut pada server yang benar-benar terhubung ke SparkPost.

Kembali pada tahun 2018 kami meminta pelanggan kami untuk memperbarui, dan TLS 1.2 telah menjadi rekomendasi untuk beberapa waktu, jadi sangat mungkin bahwa Anda TIDAK terpengaruh.  Namun, jika Anda menggunakan metode apa pun untuk menyuntikkan pesan (SMTP atau REST API) atau mengumpulkan data (metrik atau webhook, dll.), maka Anda benar-benar harus memeriksa sekarang untuk memastikan sistem Anda dapat mendukung TLS 1.2.  Pastikan Anda menjalankan pengujian berikut pada server yang benar-benar terhubung ke SparkPost.

Mengapa itu penting

Mengapa peningkatan ke TLS 1.2 itu penting

Mengapa peningkatan ke TLS 1.2 itu penting

Detail

Dukungan TLS 1.1 akan berakhir

SparkPost tidak akan lagi menerima koneksi TLS 1.1 setelah September 2020

Versi lama tidak aman

Protokol TLS yang sudah ketinggalan zaman rentan terhadap metode serangan modern

Kepatuhan standar industri

TLS 1.2 telah menjadi protokol aman yang direkomendasikan selama bertahun-tahun

Kinerja dan keandalan yang lebih baik

Koneksi terenkripsi yang lebih cepat dan lebih stabil

Resmi dinyatakan tidak berlaku

Standar IETF mengklasifikasikan TLS 1.1 sebagai usang

Mengapa peningkatan ke TLS 1.2 itu penting

Mengapa peningkatan ke TLS 1.2 itu penting

Detail

Dukungan TLS 1.1 akan berakhir

SparkPost tidak akan lagi menerima koneksi TLS 1.1 setelah September 2020

Versi lama tidak aman

Protokol TLS yang sudah ketinggalan zaman rentan terhadap metode serangan modern

Kepatuhan standar industri

TLS 1.2 telah menjadi protokol aman yang direkomendasikan selama bertahun-tahun

Kinerja dan keandalan yang lebih baik

Koneksi terenkripsi yang lebih cepat dan lebih stabil

Resmi dinyatakan tidak berlaku

Standar IETF mengklasifikasikan TLS 1.1 sebagai usang

Mengapa peningkatan ke TLS 1.2 itu penting

Mengapa peningkatan ke TLS 1.2 itu penting

Detail

Dukungan TLS 1.1 akan berakhir

SparkPost tidak akan lagi menerima koneksi TLS 1.1 setelah September 2020

Versi lama tidak aman

Protokol TLS yang sudah ketinggalan zaman rentan terhadap metode serangan modern

Kepatuhan standar industri

TLS 1.2 telah menjadi protokol aman yang direkomendasikan selama bertahun-tahun

Kinerja dan keandalan yang lebih baik

Koneksi terenkripsi yang lebih cepat dan lebih stabil

Resmi dinyatakan tidak berlaku

Standar IETF mengklasifikasikan TLS 1.1 sebagai usang

Mengapa sekarang?

Sebenarnya, pertanyaannya seharusnya “mengapa Anda masih mendukungnya?”  TLS 1.2 telah menjadi standar aman yang dianjurkan selama lebih dari satu dekade dan kita sudah berada pada titik akhir untuk siapa pun yang benar-benar menawarkan dukungan untuk apa pun yang kurang dari TLS1.2. Sudah waktunya bagi dukungan HTTPS yang lemah untuk mati sekali dan untuk selamanya.  Jika Anda masih menggunakan TLS 1.1 setelah Maret 2020, Anda akan mengalami kesulitan untuk terhubung ke sebagian besar layanan.  SparkPost telah memberikan banyak kesempatan untuk memperbarui ini dan sekarang kami mengirimkan pemberitahuan terakhir untuk melakukan pembaruan sebelum September ketika kami menghapusnya selamanya.

Sebenarnya, pertanyaannya seharusnya “mengapa Anda masih mendukungnya?”  TLS 1.2 telah menjadi standar aman yang dianjurkan selama lebih dari satu dekade dan kita sudah berada pada titik akhir untuk siapa pun yang benar-benar menawarkan dukungan untuk apa pun yang kurang dari TLS1.2. Sudah waktunya bagi dukungan HTTPS yang lemah untuk mati sekali dan untuk selamanya.  Jika Anda masih menggunakan TLS 1.1 setelah Maret 2020, Anda akan mengalami kesulitan untuk terhubung ke sebagian besar layanan.  SparkPost telah memberikan banyak kesempatan untuk memperbarui ini dan sekarang kami mengirimkan pemberitahuan terakhir untuk melakukan pembaruan sebelum September ketika kami menghapusnya selamanya.

Sebenarnya, pertanyaannya seharusnya “mengapa Anda masih mendukungnya?”  TLS 1.2 telah menjadi standar aman yang dianjurkan selama lebih dari satu dekade dan kita sudah berada pada titik akhir untuk siapa pun yang benar-benar menawarkan dukungan untuk apa pun yang kurang dari TLS1.2. Sudah waktunya bagi dukungan HTTPS yang lemah untuk mati sekali dan untuk selamanya.  Jika Anda masih menggunakan TLS 1.1 setelah Maret 2020, Anda akan mengalami kesulitan untuk terhubung ke sebagian besar layanan.  SparkPost telah memberikan banyak kesempatan untuk memperbarui ini dan sekarang kami mengirimkan pemberitahuan terakhir untuk melakukan pembaruan sebelum September ketika kami menghapusnya selamanya.

Tapi bagaimana, tolong katakan, bisa Anda perbaiki?

sangat mungkin bahwa SysAdmin TI atau WebAdmin Anda telah melakukan ini untuk Anda sebagai bagian dari pemeliharaan normal mereka.  Jika ya, Anda harus membeli mereka bir dan mengucapkan terima kasih.  Jika tidak, Anda dapat mengikuti beberapa langkah di bawah ini untuk menyelesaikannya di Linux, Windows, dan Mac.

Perhatikan bahwa di seluruh dokumen ini kami akan menguji dengan titik akhir SparkPost AS

Jika Anda biasanya menggunakan penyebaran Eropa, Anda harus menggunakan titik akhir UE sebagai gantinya.

sangat mungkin bahwa SysAdmin TI atau WebAdmin Anda telah melakukan ini untuk Anda sebagai bagian dari pemeliharaan normal mereka.  Jika ya, Anda harus membeli mereka bir dan mengucapkan terima kasih.  Jika tidak, Anda dapat mengikuti beberapa langkah di bawah ini untuk menyelesaikannya di Linux, Windows, dan Mac.

Perhatikan bahwa di seluruh dokumen ini kami akan menguji dengan titik akhir SparkPost AS

Jika Anda biasanya menggunakan penyebaran Eropa, Anda harus menggunakan titik akhir UE sebagai gantinya.

sangat mungkin bahwa SysAdmin TI atau WebAdmin Anda telah melakukan ini untuk Anda sebagai bagian dari pemeliharaan normal mereka.  Jika ya, Anda harus membeli mereka bir dan mengucapkan terima kasih.  Jika tidak, Anda dapat mengikuti beberapa langkah di bawah ini untuk menyelesaikannya di Linux, Windows, dan Mac.

Perhatikan bahwa di seluruh dokumen ini kami akan menguji dengan titik akhir SparkPost AS

Jika Anda biasanya menggunakan penyebaran Eropa, Anda harus menggunakan titik akhir UE sebagai gantinya.

Bagaimana Anda bisa memeriksa? (versi Linux)

Pertama, mari kita periksa apakah SysAdmin ramah di lingkungan Anda sudah mengurus ini untuk Anda. Ini sebenarnya adalah bagian dari konfigurasi SSL sehingga dapat dikelola dalam konfigurasi sistem Anda.  Mengasumsikan Anda menggunakan Linux, metode yang paling deskriptif adalah menggunakan nmap tetapi Anda juga dapat menggunakan openssl.  Anda dapat menggunakan nmap dengan Linux, Windows, dan Mac, tetapi kami juga akan mengeksplorasi metode lain untuk Windows dan Mac jika Anda tidak ingin menginstal perangkat lunak baru.

Untuk melakukan ini dengan nmap, uji cipher terhadap host HTTPS yang dikenal.  Karena tujuannya adalah untuk memastikan kita terhubung ke SparkPost dengan aman, mari kita uji terhadap titik akhir itu. Pastikan Anda menjalankan tes berikut pada server yang benar-benar terhubung ke SparkPost. 

nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com

Ini dilakukan di server pengembangan saya sendiri dan Anda dapat dengan mudah melihat bahwa konfigurasi saya mendukung TLS 1.1 dan 1.2 tetapi tidak 1.3.  Penting untuk dicatat pada titik ini bahwa AWS ALB, dan karena itu koneksi SparkPost, belum mendukung TLS1.3, tetapi itu sudah ada di peta jalan AWS.

Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC
                    
Nmap scan report for api.sparkpost.com (52.13.246.255)
Host is up (0.00059s latency).
Other addresses for api.sparkpost.com (not scanned):
34.211.102.211
52.43.22.201
54.213.185.174
100.20.154.199
52.43.110.79
52.40.215.39
52.40.175.169
  
rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Pada titik ini, Anda sebenarnya bisa berhenti jika mau karena tujuannya adalah memastikan Anda dapat terhubung ke SparkPost menggunakan TLS 1.2.  Jika koneksi Anda mendukung TLS 1.2, itu yang kami perlukan pada titik ini sehingga kami baik-baik saja di sini.  Silahkan beli SysAdmin itu bir dan katakan terima kasih.

Kirimkan kami email dan beri tahu kami bahwa Anda berhasil.

Pertama, mari kita periksa apakah SysAdmin ramah di lingkungan Anda sudah mengurus ini untuk Anda. Ini sebenarnya adalah bagian dari konfigurasi SSL sehingga dapat dikelola dalam konfigurasi sistem Anda.  Mengasumsikan Anda menggunakan Linux, metode yang paling deskriptif adalah menggunakan nmap tetapi Anda juga dapat menggunakan openssl.  Anda dapat menggunakan nmap dengan Linux, Windows, dan Mac, tetapi kami juga akan mengeksplorasi metode lain untuk Windows dan Mac jika Anda tidak ingin menginstal perangkat lunak baru.

Untuk melakukan ini dengan nmap, uji cipher terhadap host HTTPS yang dikenal.  Karena tujuannya adalah untuk memastikan kita terhubung ke SparkPost dengan aman, mari kita uji terhadap titik akhir itu. Pastikan Anda menjalankan tes berikut pada server yang benar-benar terhubung ke SparkPost. 

nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com

Ini dilakukan di server pengembangan saya sendiri dan Anda dapat dengan mudah melihat bahwa konfigurasi saya mendukung TLS 1.1 dan 1.2 tetapi tidak 1.3.  Penting untuk dicatat pada titik ini bahwa AWS ALB, dan karena itu koneksi SparkPost, belum mendukung TLS1.3, tetapi itu sudah ada di peta jalan AWS.

Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC
                    
Nmap scan report for api.sparkpost.com (52.13.246.255)
Host is up (0.00059s latency).
Other addresses for api.sparkpost.com (not scanned):
34.211.102.211
52.43.22.201
54.213.185.174
100.20.154.199
52.43.110.79
52.40.215.39
52.40.175.169
  
rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Pada titik ini, Anda sebenarnya bisa berhenti jika mau karena tujuannya adalah memastikan Anda dapat terhubung ke SparkPost menggunakan TLS 1.2.  Jika koneksi Anda mendukung TLS 1.2, itu yang kami perlukan pada titik ini sehingga kami baik-baik saja di sini.  Silahkan beli SysAdmin itu bir dan katakan terima kasih.

Kirimkan kami email dan beri tahu kami bahwa Anda berhasil.

Pertama, mari kita periksa apakah SysAdmin ramah di lingkungan Anda sudah mengurus ini untuk Anda. Ini sebenarnya adalah bagian dari konfigurasi SSL sehingga dapat dikelola dalam konfigurasi sistem Anda.  Mengasumsikan Anda menggunakan Linux, metode yang paling deskriptif adalah menggunakan nmap tetapi Anda juga dapat menggunakan openssl.  Anda dapat menggunakan nmap dengan Linux, Windows, dan Mac, tetapi kami juga akan mengeksplorasi metode lain untuk Windows dan Mac jika Anda tidak ingin menginstal perangkat lunak baru.

Untuk melakukan ini dengan nmap, uji cipher terhadap host HTTPS yang dikenal.  Karena tujuannya adalah untuk memastikan kita terhubung ke SparkPost dengan aman, mari kita uji terhadap titik akhir itu. Pastikan Anda menjalankan tes berikut pada server yang benar-benar terhubung ke SparkPost. 

nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com

Ini dilakukan di server pengembangan saya sendiri dan Anda dapat dengan mudah melihat bahwa konfigurasi saya mendukung TLS 1.1 dan 1.2 tetapi tidak 1.3.  Penting untuk dicatat pada titik ini bahwa AWS ALB, dan karena itu koneksi SparkPost, belum mendukung TLS1.3, tetapi itu sudah ada di peta jalan AWS.

Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC
                    
Nmap scan report for api.sparkpost.com (52.13.246.255)
Host is up (0.00059s latency).
Other addresses for api.sparkpost.com (not scanned):
34.211.102.211
52.43.22.201
54.213.185.174
100.20.154.199
52.43.110.79
52.40.215.39
52.40.175.169
  
rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Pada titik ini, Anda sebenarnya bisa berhenti jika mau karena tujuannya adalah memastikan Anda dapat terhubung ke SparkPost menggunakan TLS 1.2.  Jika koneksi Anda mendukung TLS 1.2, itu yang kami perlukan pada titik ini sehingga kami baik-baik saja di sini.  Silahkan beli SysAdmin itu bir dan katakan terima kasih.

Kirimkan kami email dan beri tahu kami bahwa Anda berhasil.

Memeriksa dukungan di Mac Anda

Alasan yang paling umum mengapa Anda perlu memeriksa dukungan di Mac Anda adalah karena Anda menggunakannya untuk pengembangan lokal, jadi mari kita anggap itu dan periksa dukungan Anda. 

Metode paling tidak mengganggu adalah menggunakan curl yang seharusnya sudah ada di setiap Mac. Luncurkan aplikasi Terminal dan gunakan bendera protokol untuk menguji secara spesifik untuk TLS1.2.

curl https://api.sparkpost.com/ --tlsv1.2 --verbose

* Trying 54.213.185.174...
* TCP_NODELAY set
* Connected to api.sparkpost.com (54.213.185.174) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/cert.pem
    CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1)
* TLSv1.2 (IN), TLS handshake, Server hello (2)
* TLSv1.2 (IN), TLS handshake, Certificate (11)
* TLSv1.2 (IN), TLS handshake, Server key exchange (12)
* TLSv1.2 (IN), TLS handshake, Server finished (14)
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16)
* TLSv1.2 (OUT), TLS change cipher, Client hello (1)
* TLSv1.2 (OUT), TLS handshake, Finished (20)
* TLSv1.2 (IN), TLS change cipher, Client hello (1)
* TLSv1.2 (IN), TLS handshake, Finished (20)
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2

* Server certificate:
*   subject: CN=*.sparkpost.com
*   start date: Jan 30 00:00:00 2020 GMT
*   expire date: Feb 28 12:00:00 2021 GMT
*   subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com"
*   issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*   SSL certificate verify ok.
      
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7fbd69805200)

> GET / HTTP/2
> Host: api.sparkpost.com
> User-Agent: curl/7.54.0
> Accept: /

*  Connection state changed (MAX_CONCURRENT_STREAMS updated)!
  
< HTTP/2 200
< date: Thu, 07 May 2020 15:14:30 GMT
< content-type: text/plain
< content-length: 95
< server: msys-http
  
Oh hey! You should come work with us and build awesome stuff


Jika Anda ingin menguji menggunakan koneksi SMTP, Anda juga dapat melakukannya dengan perintah ini:

openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587


Kembali sejumlah besar data termasuk:

SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384

Alasan yang paling umum mengapa Anda perlu memeriksa dukungan di Mac Anda adalah karena Anda menggunakannya untuk pengembangan lokal, jadi mari kita anggap itu dan periksa dukungan Anda. 

Metode paling tidak mengganggu adalah menggunakan curl yang seharusnya sudah ada di setiap Mac. Luncurkan aplikasi Terminal dan gunakan bendera protokol untuk menguji secara spesifik untuk TLS1.2.

curl https://api.sparkpost.com/ --tlsv1.2 --verbose

* Trying 54.213.185.174...
* TCP_NODELAY set
* Connected to api.sparkpost.com (54.213.185.174) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/cert.pem
    CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1)
* TLSv1.2 (IN), TLS handshake, Server hello (2)
* TLSv1.2 (IN), TLS handshake, Certificate (11)
* TLSv1.2 (IN), TLS handshake, Server key exchange (12)
* TLSv1.2 (IN), TLS handshake, Server finished (14)
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16)
* TLSv1.2 (OUT), TLS change cipher, Client hello (1)
* TLSv1.2 (OUT), TLS handshake, Finished (20)
* TLSv1.2 (IN), TLS change cipher, Client hello (1)
* TLSv1.2 (IN), TLS handshake, Finished (20)
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2

* Server certificate:
*   subject: CN=*.sparkpost.com
*   start date: Jan 30 00:00:00 2020 GMT
*   expire date: Feb 28 12:00:00 2021 GMT
*   subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com"
*   issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*   SSL certificate verify ok.
      
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7fbd69805200)

> GET / HTTP/2
> Host: api.sparkpost.com
> User-Agent: curl/7.54.0
> Accept: /

*  Connection state changed (MAX_CONCURRENT_STREAMS updated)!
  
< HTTP/2 200
< date: Thu, 07 May 2020 15:14:30 GMT
< content-type: text/plain
< content-length: 95
< server: msys-http
  
Oh hey! You should come work with us and build awesome stuff


Jika Anda ingin menguji menggunakan koneksi SMTP, Anda juga dapat melakukannya dengan perintah ini:

openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587


Kembali sejumlah besar data termasuk:

SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384

Alasan yang paling umum mengapa Anda perlu memeriksa dukungan di Mac Anda adalah karena Anda menggunakannya untuk pengembangan lokal, jadi mari kita anggap itu dan periksa dukungan Anda. 

Metode paling tidak mengganggu adalah menggunakan curl yang seharusnya sudah ada di setiap Mac. Luncurkan aplikasi Terminal dan gunakan bendera protokol untuk menguji secara spesifik untuk TLS1.2.

curl https://api.sparkpost.com/ --tlsv1.2 --verbose

* Trying 54.213.185.174...
* TCP_NODELAY set
* Connected to api.sparkpost.com (54.213.185.174) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/cert.pem
    CApath: none
* TLSv1.2 (OUT), TLS handshake, Client hello (1)
* TLSv1.2 (IN), TLS handshake, Server hello (2)
* TLSv1.2 (IN), TLS handshake, Certificate (11)
* TLSv1.2 (IN), TLS handshake, Server key exchange (12)
* TLSv1.2 (IN), TLS handshake, Server finished (14)
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16)
* TLSv1.2 (OUT), TLS change cipher, Client hello (1)
* TLSv1.2 (OUT), TLS handshake, Finished (20)
* TLSv1.2 (IN), TLS change cipher, Client hello (1)
* TLSv1.2 (IN), TLS handshake, Finished (20)
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2

* Server certificate:
*   subject: CN=*.sparkpost.com
*   start date: Jan 30 00:00:00 2020 GMT
*   expire date: Feb 28 12:00:00 2021 GMT
*   subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com"
*   issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*   SSL certificate verify ok.
      
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7fbd69805200)

> GET / HTTP/2
> Host: api.sparkpost.com
> User-Agent: curl/7.54.0
> Accept: /

*  Connection state changed (MAX_CONCURRENT_STREAMS updated)!
  
< HTTP/2 200
< date: Thu, 07 May 2020 15:14:30 GMT
< content-type: text/plain
< content-length: 95
< server: msys-http
  
Oh hey! You should come work with us and build awesome stuff


Jika Anda ingin menguji menggunakan koneksi SMTP, Anda juga dapat melakukannya dengan perintah ini:

openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587


Kembali sejumlah besar data termasuk:

SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384

Melangkah satu langkah lebih jauh

Kenapa berhenti di TLS 1.2 ketika Anda tahu – Anda hanya tahu – bahwa kita semua akan harus meningkatkan ke TLS 1.3 dalam setahun atau lebih.  Kenapa tidak langsung meningkatkan ke TLSv1.3 sementara kita melakukannya?

Sayangnya, AWS ALB belum mendukung TLS1.3, jadi jika Anda meningkatkan konfigurasi Anda, koneksi Anda ke SparkPost dan layanan AWS lainnya yang menggunakan lapisan ALB akan tetap terbatas pada TLS1.2. Secara pribadi, saya tetap berpikir bahwa itu adalah ide yang baik untuk berada di depan dan meningkatkan ke 1.3 sementara Anda melakukan perubahan.

Jika Anda ingin menambah dukungan TLS 1.3, Anda mungkin harus memperbarui pustaka OpenSSL Anda terlebih dahulu ke V1.1.1 atau yang lebih baru dan kemudian menambahkan +TLSv1.3  ke baris protokol yang disebutkan di atas.  Instruksi serupa dapat ditemukan di sini untuk Nginx dan Cloudflare juga.

Kenapa berhenti di TLS 1.2 ketika Anda tahu – Anda hanya tahu – bahwa kita semua akan harus meningkatkan ke TLS 1.3 dalam setahun atau lebih.  Kenapa tidak langsung meningkatkan ke TLSv1.3 sementara kita melakukannya?

Sayangnya, AWS ALB belum mendukung TLS1.3, jadi jika Anda meningkatkan konfigurasi Anda, koneksi Anda ke SparkPost dan layanan AWS lainnya yang menggunakan lapisan ALB akan tetap terbatas pada TLS1.2. Secara pribadi, saya tetap berpikir bahwa itu adalah ide yang baik untuk berada di depan dan meningkatkan ke 1.3 sementara Anda melakukan perubahan.

Jika Anda ingin menambah dukungan TLS 1.3, Anda mungkin harus memperbarui pustaka OpenSSL Anda terlebih dahulu ke V1.1.1 atau yang lebih baru dan kemudian menambahkan +TLSv1.3  ke baris protokol yang disebutkan di atas.  Instruksi serupa dapat ditemukan di sini untuk Nginx dan Cloudflare juga.

Kenapa berhenti di TLS 1.2 ketika Anda tahu – Anda hanya tahu – bahwa kita semua akan harus meningkatkan ke TLS 1.3 dalam setahun atau lebih.  Kenapa tidak langsung meningkatkan ke TLSv1.3 sementara kita melakukannya?

Sayangnya, AWS ALB belum mendukung TLS1.3, jadi jika Anda meningkatkan konfigurasi Anda, koneksi Anda ke SparkPost dan layanan AWS lainnya yang menggunakan lapisan ALB akan tetap terbatas pada TLS1.2. Secara pribadi, saya tetap berpikir bahwa itu adalah ide yang baik untuk berada di depan dan meningkatkan ke 1.3 sementara Anda melakukan perubahan.

Jika Anda ingin menambah dukungan TLS 1.3, Anda mungkin harus memperbarui pustaka OpenSSL Anda terlebih dahulu ke V1.1.1 atau yang lebih baru dan kemudian menambahkan +TLSv1.3  ke baris protokol yang disebutkan di atas.  Instruksi serupa dapat ditemukan di sini untuk Nginx dan Cloudflare juga.

Tetap aman di luar sana

Terakhir, akan sangat baik jika Anda dapat mengirimkan kami email cepat untuk memberi tahu kami bahwa Anda telah memverifikasi bahwa Anda mampu TLS 1.2.  Kami benar-benar tidak ingin memutus siapa pun dan tanggal akhir adalah September 2020.  Jika kami tahu Anda semua berada di zona aman, kami akan merasa jauh lebih baik tentang mematikan dukungan lama.

Terakhir, akan sangat baik jika Anda dapat mengirimkan kami email cepat untuk memberi tahu kami bahwa Anda telah memverifikasi bahwa Anda mampu TLS 1.2.  Kami benar-benar tidak ingin memutus siapa pun dan tanggal akhir adalah September 2020.  Jika kami tahu Anda semua berada di zona aman, kami akan merasa jauh lebih baik tentang mematikan dukungan lama.

Terakhir, akan sangat baik jika Anda dapat mengirimkan kami email cepat untuk memberi tahu kami bahwa Anda telah memverifikasi bahwa Anda mampu TLS 1.2.  Kami benar-benar tidak ingin memutus siapa pun dan tanggal akhir adalah September 2020.  Jika kami tahu Anda semua berada di zona aman, kami akan merasa jauh lebih baik tentang mematikan dukungan lama.

Berita lainnya

Baca lebih lanjut dari kategori ini

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat berkembang seiring dengan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Burung

Hubungi Dukungan

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat berkembang seiring dengan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Burung

Hubungi Dukungan

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat berkembang seiring dengan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Burung

Hubungi Dukungan