Meningkatkan ke TLS 1.2
Burung
20 Mei 2020
Rekayasa
1 min read
Intisari Utama
TLS 1.1 resmi dihentikan. Bird (sebelumnya SparkPost) tidak lagi mendukung koneksi menggunakan TLS 1.1 setelah September 2020. Semua sistem harus mendukung TLS 1.2 atau lebih tinggi untuk menjaga konektivitas yang aman.
Mengapa peningkatan ini penting: TLS 1.2 telah menjadi protokol yang direkomendasikan selama lebih dari satu dekade. Ini menawarkan enkripsi yang lebih kuat, kinerja yang lebih baik, dan kepatuhan dengan standar keamanan modern, sementara versi yang lebih lama rentan terhadap serangan.
Cara memeriksa sistem Anda:
Linux: Gunakan nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com atau openssl untuk memverifikasi dukungan protokol.
macOS: Jalankan curl https://api.sparkpost.com/ --tlsv1.2 --verbose di Terminal.
Windows: Pergi ke Opsi Internet → Lanjutan dan pastikan “Gunakan TLS 1.2” dipilih.
Cara mengaktifkan TLS 1.2:
Pada Apache, perbarui konfigurasi SSL: SSLProtocol -all +TLSv1.2
Pada Nginx, modifikasi ssl_protocols TLSv1.2; dan restart layanan Anda.
Mengapa tidak TLS 1.3 (belum)? Meskipun TLS 1.3 adalah langkah maju berikutnya, AWS Application Load Balancers (digunakan oleh SparkPost/Bird) belum mendukungnya pada saat itu. Namun, meningkatkan OpenSSL ke v1.1.1+ mempersiapkan Anda untuk transisi yang lebih mudah di masa depan.
Pengakuan sadar keamanan. Bird mendorong pengadopsi awal untuk berbagi keberhasilan peningkatan mereka dan bergabung dengan “dinding luar biasa” mereka — merayakan kepatuhan keamanan yang proaktif.
Sorotan Q&A
Mengapa TLS 1.2 diperlukan?
Karena versi sebelumnya (1.0 dan 1.1) tidak aman dan dihentikan oleh IETF. TLS 1.2 menawarkan enkripsi yang lebih kuat dan perlindungan integritas untuk koneksi API dan SMTP.
Siapa yang terpengaruh oleh ini?
Setiap pelanggan yang terhubung ke Bird (melalui REST API, SMTP, webhooks, atau titik akhir metrik) menggunakan versi TLS usang.
Bagaimana saya dapat menguji koneksi saya?
Jalankan salah satu perintah verifikasi untuk OS Anda (Linux, macOS, atau Windows). Jika output menunjukkan jabat tangan TLSv1.2 yang berhasil, koneksi Anda sudah sesuai.
Apa yang terjadi jika I tidak upgrade?
Koneksi Anda akan gagal setelah TLS 1.1 dinonaktifkan. Anda akan kehilangan kemampuan untuk mengirim pesan atau mengakses API sampai sistem Anda mendukung TLS 1.2.
Bisakah saya mengaktifkan TLS 1.3 sekarang?
Anda dapat, tetapi mungkin belum didukung oleh AWS ALBs. Memperbarui OpenSSL ke v1.1.1+ memastikan kompatibilitas ketika TLS 1.3 tersedia.
Apakah saya perlu mengubah apapun jika saya menggunakan Bird melalui sebuah library atau SDK?
Kebanyakan SDK modern sudah secara default menggunakan TLS 1.2. Namun, verifikasi konfigurasi SSL lingkungan Anda atau versi perpustakaan jika lebih lama dari pertengahan 2018.
Apakah ada cara untuk mengonfirmasi sukses?
Ya — setelah menguji koneksi Anda, Bird mengundang pengguna untuk mengirim email konfirmasi ke tim dukungan mereka, memastikan kesiapan sebelum tanggal batas.
Apakah Anda menggunakan TLS versi lebih lama dari 1.2? Tidak masalah, penundaan pembaruan pemeliharaan bisa terjadi pada siapa saja. Kami mengerti. Namun, saatnya untuk beralih.
Ingatkah Anda pada bulan Juni 2018 ketika kami menghentikan penggunaan TLS 1.0? Jika tidak, tidak apa-apa, Anda dapat membaca semuanya di posting ini. Nah, di sini kita, 2 tahun kemudian dan versi berikutnya akan dihentikan, jadi kami ingin Anda siap dan menghindari gangguan layanan. Posting ini adalah tentang mempersiapkan Anda agar dapat berjalan tanpa menggunakan TLS1.1 sehingga kami dapat membatasi akses hanya ke TLS1.2. Kami akan membimbing Anda melalui cara memeriksa versi Anda saat ini dan cara meningkatkan ke versi terbaru. Hanya untuk bersenang-senang, kami benar-benar ingin mendengar umpan balik Anda dan menambahkan Anda ke “wall of awesomeness” yang menampilkan semua perusahaan yang sadar keamanan yang melakukan perubahan lebih awal.
Apakah Anda menggunakan TLS versi lebih lama dari 1.2? Tidak masalah, penundaan pembaruan pemeliharaan bisa terjadi pada siapa saja. Kami mengerti. Namun, saatnya untuk beralih.
Ingatkah Anda pada bulan Juni 2018 ketika kami menghentikan penggunaan TLS 1.0? Jika tidak, tidak apa-apa, Anda dapat membaca semuanya di posting ini. Nah, di sini kita, 2 tahun kemudian dan versi berikutnya akan dihentikan, jadi kami ingin Anda siap dan menghindari gangguan layanan. Posting ini adalah tentang mempersiapkan Anda agar dapat berjalan tanpa menggunakan TLS1.1 sehingga kami dapat membatasi akses hanya ke TLS1.2. Kami akan membimbing Anda melalui cara memeriksa versi Anda saat ini dan cara meningkatkan ke versi terbaru. Hanya untuk bersenang-senang, kami benar-benar ingin mendengar umpan balik Anda dan menambahkan Anda ke “wall of awesomeness” yang menampilkan semua perusahaan yang sadar keamanan yang melakukan perubahan lebih awal.
Apakah Anda menggunakan TLS versi lebih lama dari 1.2? Tidak masalah, penundaan pembaruan pemeliharaan bisa terjadi pada siapa saja. Kami mengerti. Namun, saatnya untuk beralih.
Ingatkah Anda pada bulan Juni 2018 ketika kami menghentikan penggunaan TLS 1.0? Jika tidak, tidak apa-apa, Anda dapat membaca semuanya di posting ini. Nah, di sini kita, 2 tahun kemudian dan versi berikutnya akan dihentikan, jadi kami ingin Anda siap dan menghindari gangguan layanan. Posting ini adalah tentang mempersiapkan Anda agar dapat berjalan tanpa menggunakan TLS1.1 sehingga kami dapat membatasi akses hanya ke TLS1.2. Kami akan membimbing Anda melalui cara memeriksa versi Anda saat ini dan cara meningkatkan ke versi terbaru. Hanya untuk bersenang-senang, kami benar-benar ingin mendengar umpan balik Anda dan menambahkan Anda ke “wall of awesomeness” yang menampilkan semua perusahaan yang sadar keamanan yang melakukan perubahan lebih awal.
Memeriksa dukungan di Windows
Mirip dengan kasus penggunaan Mac, alasan paling umum Anda mungkin perlu memeriksa dukungan di Windows Anda adalah bahwa Anda menggunakannya untuk pengembangan lokal, jadi mari kita asumsi itu dan periksa dukungan Anda.
Windows 7 dan Windows 10 pada dasarnya menggunakan proses yang sama. Jika Anda menggunakan versi yang lebih lama, harap tingkatkan karena versi sebelumnya tidak mendukung TLS 1.2.
Mulailah dengan mengklik START di pojok kiri bawah (biasanya).
Ketik “Internet Options” dan pilih yang sesuai dari daftar hasil.
Klik pada tab Advanced dan dari sana gulir ke bawah hingga ke bagian paling bawah. Jika TLS 1.2 sudah dicentang, berarti Anda sudah siap. Jika belum, silakan centang kotak di sebelah Use TLS 1.2 dan kemudian Apply.
Mirip dengan kasus penggunaan Mac, alasan paling umum Anda mungkin perlu memeriksa dukungan di Windows Anda adalah bahwa Anda menggunakannya untuk pengembangan lokal, jadi mari kita asumsi itu dan periksa dukungan Anda.
Windows 7 dan Windows 10 pada dasarnya menggunakan proses yang sama. Jika Anda menggunakan versi yang lebih lama, harap tingkatkan karena versi sebelumnya tidak mendukung TLS 1.2.
Mulailah dengan mengklik START di pojok kiri bawah (biasanya).
Ketik “Internet Options” dan pilih yang sesuai dari daftar hasil.
Klik pada tab Advanced dan dari sana gulir ke bawah hingga ke bagian paling bawah. Jika TLS 1.2 sudah dicentang, berarti Anda sudah siap. Jika belum, silakan centang kotak di sebelah Use TLS 1.2 dan kemudian Apply.
Mirip dengan kasus penggunaan Mac, alasan paling umum Anda mungkin perlu memeriksa dukungan di Windows Anda adalah bahwa Anda menggunakannya untuk pengembangan lokal, jadi mari kita asumsi itu dan periksa dukungan Anda.
Windows 7 dan Windows 10 pada dasarnya menggunakan proses yang sama. Jika Anda menggunakan versi yang lebih lama, harap tingkatkan karena versi sebelumnya tidak mendukung TLS 1.2.
Mulailah dengan mengklik START di pojok kiri bawah (biasanya).
Ketik “Internet Options” dan pilih yang sesuai dari daftar hasil.
Klik pada tab Advanced dan dari sana gulir ke bawah hingga ke bagian paling bawah. Jika TLS 1.2 sudah dicentang, berarti Anda sudah siap. Jika belum, silakan centang kotak di sebelah Use TLS 1.2 dan kemudian Apply.
Apakah ini memengaruhi saya?
Kembali pada tahun 2018 kami meminta pelanggan kami untuk meningkatkan, dan TLS 1.2 telah menjadi rekomendasi selama beberapa waktu, jadi sangat mungkin bahwa Anda TIDAK terpengaruh. Namun, jika Anda menggunakan metode apapun untuk menyuntikkan pesan (SMTP atau REST API) atau mengumpulkan data (metrik atau webhook, dll), maka Anda benar-benar harus memeriksa sekarang untuk memastikan sistem Anda dapat mendukung TLS 1.2. Pastikan Anda menjalankan tes berikut pada server yang benar-benar terhubung ke SparkPost.
Kembali pada tahun 2018 kami meminta pelanggan kami untuk meningkatkan, dan TLS 1.2 telah menjadi rekomendasi selama beberapa waktu, jadi sangat mungkin bahwa Anda TIDAK terpengaruh. Namun, jika Anda menggunakan metode apapun untuk menyuntikkan pesan (SMTP atau REST API) atau mengumpulkan data (metrik atau webhook, dll), maka Anda benar-benar harus memeriksa sekarang untuk memastikan sistem Anda dapat mendukung TLS 1.2. Pastikan Anda menjalankan tes berikut pada server yang benar-benar terhubung ke SparkPost.
Kembali pada tahun 2018 kami meminta pelanggan kami untuk meningkatkan, dan TLS 1.2 telah menjadi rekomendasi selama beberapa waktu, jadi sangat mungkin bahwa Anda TIDAK terpengaruh. Namun, jika Anda menggunakan metode apapun untuk menyuntikkan pesan (SMTP atau REST API) atau mengumpulkan data (metrik atau webhook, dll), maka Anda benar-benar harus memeriksa sekarang untuk memastikan sistem Anda dapat mendukung TLS 1.2. Pastikan Anda menjalankan tes berikut pada server yang benar-benar terhubung ke SparkPost.
Mengapa itu penting
Mengapa peningkatan ke TLS 1.2 penting
Mengapa peningkatan ke TLS 1.2 penting | Rincian |
|---|---|
Dukungan TLS 1.1 akan berakhir | SparkPost tidak akan lagi menerima koneksi TLS 1.1 setelah September 2020 |
Versi yang lebih lama tidak aman | Protokol TLS lama rentan terhadap metode serangan modern |
Kepatuhan standar industri | TLS 1.2 telah direkomendasikan sebagai protokol aman selama bertahun-tahun |
Kinerja dan keandalan yang lebih baik | Koneksi terenkripsi yang lebih cepat dan stabil |
Resmi ditinggalkan | Standar IETF mengklasifikasikan TLS 1.1 sebagai usang |
Mengapa peningkatan ke TLS 1.2 penting
Mengapa peningkatan ke TLS 1.2 penting | Rincian |
|---|---|
Dukungan TLS 1.1 akan berakhir | SparkPost tidak akan lagi menerima koneksi TLS 1.1 setelah September 2020 |
Versi yang lebih lama tidak aman | Protokol TLS lama rentan terhadap metode serangan modern |
Kepatuhan standar industri | TLS 1.2 telah direkomendasikan sebagai protokol aman selama bertahun-tahun |
Kinerja dan keandalan yang lebih baik | Koneksi terenkripsi yang lebih cepat dan stabil |
Resmi ditinggalkan | Standar IETF mengklasifikasikan TLS 1.1 sebagai usang |
Mengapa peningkatan ke TLS 1.2 penting
Mengapa peningkatan ke TLS 1.2 penting | Rincian |
|---|---|
Dukungan TLS 1.1 akan berakhir | SparkPost tidak akan lagi menerima koneksi TLS 1.1 setelah September 2020 |
Versi yang lebih lama tidak aman | Protokol TLS lama rentan terhadap metode serangan modern |
Kepatuhan standar industri | TLS 1.2 telah direkomendasikan sebagai protokol aman selama bertahun-tahun |
Kinerja dan keandalan yang lebih baik | Koneksi terenkripsi yang lebih cepat dan stabil |
Resmi ditinggalkan | Standar IETF mengklasifikasikan TLS 1.1 sebagai usang |
Mengapa sekarang?
Sebenarnya, pertanyaannya seharusnya "mengapa Anda masih mendukungnya?" TLS 1.2 telah direkomendasikan sebagai standar keamanan selama lebih dari satu dekade dan kita sudah hampir tidak ada yang benar-benar menawarkan dukungan untuk apapun yang kurang dari TLS1.2. Sudah saatnya untuk dukungan HTTPS yang lemah untuk dihentikan selamanya. Jika Anda masih menggunakan TLS 1.1 setelah Maret 2020, Anda akan mengalami kesulitan menghubungkan ke sebagian besar layanan. SparkPost telah memberikan cukup banyak kelonggaran untuk memperbarui ini dan sekarang kami mengirimkan pemberitahuan terakhir untuk memperbaruinya sebelum September ketika kami menghentikannya selamanya.
Sebenarnya, pertanyaannya seharusnya "mengapa Anda masih mendukungnya?" TLS 1.2 telah direkomendasikan sebagai standar keamanan selama lebih dari satu dekade dan kita sudah hampir tidak ada yang benar-benar menawarkan dukungan untuk apapun yang kurang dari TLS1.2. Sudah saatnya untuk dukungan HTTPS yang lemah untuk dihentikan selamanya. Jika Anda masih menggunakan TLS 1.1 setelah Maret 2020, Anda akan mengalami kesulitan menghubungkan ke sebagian besar layanan. SparkPost telah memberikan cukup banyak kelonggaran untuk memperbarui ini dan sekarang kami mengirimkan pemberitahuan terakhir untuk memperbaruinya sebelum September ketika kami menghentikannya selamanya.
Sebenarnya, pertanyaannya seharusnya "mengapa Anda masih mendukungnya?" TLS 1.2 telah direkomendasikan sebagai standar keamanan selama lebih dari satu dekade dan kita sudah hampir tidak ada yang benar-benar menawarkan dukungan untuk apapun yang kurang dari TLS1.2. Sudah saatnya untuk dukungan HTTPS yang lemah untuk dihentikan selamanya. Jika Anda masih menggunakan TLS 1.1 setelah Maret 2020, Anda akan mengalami kesulitan menghubungkan ke sebagian besar layanan. SparkPost telah memberikan cukup banyak kelonggaran untuk memperbarui ini dan sekarang kami mengirimkan pemberitahuan terakhir untuk memperbaruinya sebelum September ketika kami menghentikannya selamanya.
Tetapi bagaimana, tolong beri tahu, bisa Anda memperbaikinya?
Sangat mungkin bahwa IT SysAdmin atau WebAdmin Anda telah melakukan ini untuk Anda sebagai bagian dari pemeliharaan normal mereka. Jika demikian, Anda harus membelikan mereka bir dan mengucapkan terima kasih. Jika tidak, Anda dapat mengikuti beberapa langkah di bawah ini untuk menyelesaikannya di Linux, Windows, dan Mac.
Perhatikan bahwa sepanjang dokumen ini kita akan menguji dengan end-point US SparkPost.
Jika Anda biasanya menggunakan deployment Eropa, Anda harus menggunakan end-point EU sebagai gantinya.
Sangat mungkin bahwa IT SysAdmin atau WebAdmin Anda telah melakukan ini untuk Anda sebagai bagian dari pemeliharaan normal mereka. Jika demikian, Anda harus membelikan mereka bir dan mengucapkan terima kasih. Jika tidak, Anda dapat mengikuti beberapa langkah di bawah ini untuk menyelesaikannya di Linux, Windows, dan Mac.
Perhatikan bahwa sepanjang dokumen ini kita akan menguji dengan end-point US SparkPost.
Jika Anda biasanya menggunakan deployment Eropa, Anda harus menggunakan end-point EU sebagai gantinya.
Sangat mungkin bahwa IT SysAdmin atau WebAdmin Anda telah melakukan ini untuk Anda sebagai bagian dari pemeliharaan normal mereka. Jika demikian, Anda harus membelikan mereka bir dan mengucapkan terima kasih. Jika tidak, Anda dapat mengikuti beberapa langkah di bawah ini untuk menyelesaikannya di Linux, Windows, dan Mac.
Perhatikan bahwa sepanjang dokumen ini kita akan menguji dengan end-point US SparkPost.
Jika Anda biasanya menggunakan deployment Eropa, Anda harus menggunakan end-point EU sebagai gantinya.
Bagaimana Anda dapat memeriksa? (versi Linux)
Pertama, mari kita periksa untuk melihat apakah SysAdmin lingkungan Anda yang ramah sudah mengurus ini untuk Anda. Ini sebenarnya bagian dari konfigurasi SSL sehingga dapat dikelola dalam konfigurasi sistem Anda. Dengan asumsi Anda menggunakan Linux, metode yang paling deskriptif adalah menggunakan nmap tetapi Anda juga dapat menggunakan openssl. Anda dapat menggunakan nmap dengan Linux, Windows, dan Mac, tetapi kami akan mengeksplorasi metode lain untuk Windows dan Mac juga jika Anda tidak ingin menginstal perangkat lunak baru.
Untuk melakukan ini dengan nmap, uji cipher terhadap host HTTPS yang dikenal. Karena tujuannya adalah untuk memastikan kita terhubung ke SparkPost dengan aman, mari kita uji terhadap titik akhir tersebut. Pastikan Anda menjalankan pengujian berikut pada server yang benar-benar terhubung ke SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Ini dilakukan di server pengembangan saya sendiri dan Anda dapat dengan mudah melihat konfigurasi saya mendukung TLS 1.1 dan 1.2 tetapi tidak 1.3. Penting untuk dicatat pada titik ini bahwa AWS ALB, dan oleh karena itu koneksi SparkPost, belum mendukung TLS 1.3, tetapi itu ada di peta jalan AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
Pada titik ini, Anda sebenarnya bisa berhenti jika Anda mau karena tujuannya adalah untuk memastikan Anda dapat terhubung ke SparkPost menggunakan TLS 1.2. Jika koneksi Anda mendukung TLS 1.2 itulah yang kita butuhkan saat ini jadi kita baik-baik saja di sini. Belikan SysAdmin itu bir dan ucapkan terima kasih.
Kirimkan kami email dan beri tahu kami bahwa Anda berhasil.
Pertama, mari kita periksa untuk melihat apakah SysAdmin lingkungan Anda yang ramah sudah mengurus ini untuk Anda. Ini sebenarnya bagian dari konfigurasi SSL sehingga dapat dikelola dalam konfigurasi sistem Anda. Dengan asumsi Anda menggunakan Linux, metode yang paling deskriptif adalah menggunakan nmap tetapi Anda juga dapat menggunakan openssl. Anda dapat menggunakan nmap dengan Linux, Windows, dan Mac, tetapi kami akan mengeksplorasi metode lain untuk Windows dan Mac juga jika Anda tidak ingin menginstal perangkat lunak baru.
Untuk melakukan ini dengan nmap, uji cipher terhadap host HTTPS yang dikenal. Karena tujuannya adalah untuk memastikan kita terhubung ke SparkPost dengan aman, mari kita uji terhadap titik akhir tersebut. Pastikan Anda menjalankan pengujian berikut pada server yang benar-benar terhubung ke SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Ini dilakukan di server pengembangan saya sendiri dan Anda dapat dengan mudah melihat konfigurasi saya mendukung TLS 1.1 dan 1.2 tetapi tidak 1.3. Penting untuk dicatat pada titik ini bahwa AWS ALB, dan oleh karena itu koneksi SparkPost, belum mendukung TLS 1.3, tetapi itu ada di peta jalan AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
Pada titik ini, Anda sebenarnya bisa berhenti jika Anda mau karena tujuannya adalah untuk memastikan Anda dapat terhubung ke SparkPost menggunakan TLS 1.2. Jika koneksi Anda mendukung TLS 1.2 itulah yang kita butuhkan saat ini jadi kita baik-baik saja di sini. Belikan SysAdmin itu bir dan ucapkan terima kasih.
Kirimkan kami email dan beri tahu kami bahwa Anda berhasil.
Pertama, mari kita periksa untuk melihat apakah SysAdmin lingkungan Anda yang ramah sudah mengurus ini untuk Anda. Ini sebenarnya bagian dari konfigurasi SSL sehingga dapat dikelola dalam konfigurasi sistem Anda. Dengan asumsi Anda menggunakan Linux, metode yang paling deskriptif adalah menggunakan nmap tetapi Anda juga dapat menggunakan openssl. Anda dapat menggunakan nmap dengan Linux, Windows, dan Mac, tetapi kami akan mengeksplorasi metode lain untuk Windows dan Mac juga jika Anda tidak ingin menginstal perangkat lunak baru.
Untuk melakukan ini dengan nmap, uji cipher terhadap host HTTPS yang dikenal. Karena tujuannya adalah untuk memastikan kita terhubung ke SparkPost dengan aman, mari kita uji terhadap titik akhir tersebut. Pastikan Anda menjalankan pengujian berikut pada server yang benar-benar terhubung ke SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Ini dilakukan di server pengembangan saya sendiri dan Anda dapat dengan mudah melihat konfigurasi saya mendukung TLS 1.1 dan 1.2 tetapi tidak 1.3. Penting untuk dicatat pada titik ini bahwa AWS ALB, dan oleh karena itu koneksi SparkPost, belum mendukung TLS 1.3, tetapi itu ada di peta jalan AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
Pada titik ini, Anda sebenarnya bisa berhenti jika Anda mau karena tujuannya adalah untuk memastikan Anda dapat terhubung ke SparkPost menggunakan TLS 1.2. Jika koneksi Anda mendukung TLS 1.2 itulah yang kita butuhkan saat ini jadi kita baik-baik saja di sini. Belikan SysAdmin itu bir dan ucapkan terima kasih.
Kirimkan kami email dan beri tahu kami bahwa Anda berhasil.
Memeriksa dukungan di Mac Anda
Alasan paling umum Anda mungkin perlu memeriksa dukungan pada Mac Anda adalah karena Anda menggunakannya untuk pengembangan lokal, jadi mari kita anggap hal itu dan periksa dukungan Anda.
Metode yang paling tidak mengganggu adalah menggunakan curl yang seharusnya sudah terpasang di setiap Mac. Luncurkan aplikasi Terminal dan gunakan flag protokol untuk menguji secara khusus untuk TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Jika Anda ingin menguji menggunakan koneksi SMTP, Anda juga dapat melakukannya dengan perintah ini:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Mengembalikan banyak data termasuk:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
Alasan paling umum Anda mungkin perlu memeriksa dukungan pada Mac Anda adalah karena Anda menggunakannya untuk pengembangan lokal, jadi mari kita anggap hal itu dan periksa dukungan Anda.
Metode yang paling tidak mengganggu adalah menggunakan curl yang seharusnya sudah terpasang di setiap Mac. Luncurkan aplikasi Terminal dan gunakan flag protokol untuk menguji secara khusus untuk TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Jika Anda ingin menguji menggunakan koneksi SMTP, Anda juga dapat melakukannya dengan perintah ini:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Mengembalikan banyak data termasuk:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
Alasan paling umum Anda mungkin perlu memeriksa dukungan pada Mac Anda adalah karena Anda menggunakannya untuk pengembangan lokal, jadi mari kita anggap hal itu dan periksa dukungan Anda.
Metode yang paling tidak mengganggu adalah menggunakan curl yang seharusnya sudah terpasang di setiap Mac. Luncurkan aplikasi Terminal dan gunakan flag protokol untuk menguji secara khusus untuk TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Jika Anda ingin menguji menggunakan koneksi SMTP, Anda juga dapat melakukannya dengan perintah ini:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Mengembalikan banyak data termasuk:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
Melangkah satu langkah lebih jauh
Mengapa berhenti di TLS 1.2 ketika Anda tahu – Anda hanya tahu – bahwa kita semua harus meningkatkan ke TLS 1.3 dalam satu tahun ke depan atau lebih. Mengapa tidak langsung saja meningkatkan ke TLSv1.3 sementara kita melakukannya?
Sayangnya, AWS ALB belum mendukung TLS1.3, jadi jika Anda meningkatkan konfigurasi Anda, koneksi Anda ke SparkPost dan layanan AWS lainnya yang menggunakan lapisan ALB akan tetap terbatas pada TLS1.2. Secara pribadi, saya masih berpikir bahwa sebaiknya kita mendahului kurva dan meningkatkan ke 1.3 saat Anda melakukan perubahan.
Jika Anda ingin menambahkan dukungan TLS 1.3, Anda mungkin harus memperbarui perpustakaan OpenSSL Anda terlebih dahulu ke V1.1.1 atau lebih baru dan kemudian tambahkan +TLSv1.3 ke baris protokol yang disebutkan di atas. Instruksi serupa dapat ditemukan di sini untuk Nginx dan Cloudflare juga.
Mengapa berhenti di TLS 1.2 ketika Anda tahu – Anda hanya tahu – bahwa kita semua harus meningkatkan ke TLS 1.3 dalam satu tahun ke depan atau lebih. Mengapa tidak langsung saja meningkatkan ke TLSv1.3 sementara kita melakukannya?
Sayangnya, AWS ALB belum mendukung TLS1.3, jadi jika Anda meningkatkan konfigurasi Anda, koneksi Anda ke SparkPost dan layanan AWS lainnya yang menggunakan lapisan ALB akan tetap terbatas pada TLS1.2. Secara pribadi, saya masih berpikir bahwa sebaiknya kita mendahului kurva dan meningkatkan ke 1.3 saat Anda melakukan perubahan.
Jika Anda ingin menambahkan dukungan TLS 1.3, Anda mungkin harus memperbarui perpustakaan OpenSSL Anda terlebih dahulu ke V1.1.1 atau lebih baru dan kemudian tambahkan +TLSv1.3 ke baris protokol yang disebutkan di atas. Instruksi serupa dapat ditemukan di sini untuk Nginx dan Cloudflare juga.
Mengapa berhenti di TLS 1.2 ketika Anda tahu – Anda hanya tahu – bahwa kita semua harus meningkatkan ke TLS 1.3 dalam satu tahun ke depan atau lebih. Mengapa tidak langsung saja meningkatkan ke TLSv1.3 sementara kita melakukannya?
Sayangnya, AWS ALB belum mendukung TLS1.3, jadi jika Anda meningkatkan konfigurasi Anda, koneksi Anda ke SparkPost dan layanan AWS lainnya yang menggunakan lapisan ALB akan tetap terbatas pada TLS1.2. Secara pribadi, saya masih berpikir bahwa sebaiknya kita mendahului kurva dan meningkatkan ke 1.3 saat Anda melakukan perubahan.
Jika Anda ingin menambahkan dukungan TLS 1.3, Anda mungkin harus memperbarui perpustakaan OpenSSL Anda terlebih dahulu ke V1.1.1 atau lebih baru dan kemudian tambahkan +TLSv1.3 ke baris protokol yang disebutkan di atas. Instruksi serupa dapat ditemukan di sini untuk Nginx dan Cloudflare juga.
Tetap aman di luar sana
Akhirnya, akan sangat bagus jika Anda bisa mengirimkan kami email singkat untuk memberi tahu kami bahwa Anda telah memverifikasi bahwa Anda mendukung TLS 1.2. Kami benar-benar tidak ingin memutuskan siapa pun dan tanggal putus akhir adalah September 2020. Jika kami tahu Anda semua berada di zona aman, kami akan merasa jauh lebih baik tentang mematikan dukungan lama.
Akhirnya, akan sangat bagus jika Anda bisa mengirimkan kami email singkat untuk memberi tahu kami bahwa Anda telah memverifikasi bahwa Anda mendukung TLS 1.2. Kami benar-benar tidak ingin memutuskan siapa pun dan tanggal putus akhir adalah September 2020. Jika kami tahu Anda semua berada di zona aman, kami akan merasa jauh lebih baik tentang mematikan dukungan lama.
Akhirnya, akan sangat bagus jika Anda bisa mengirimkan kami email singkat untuk memberi tahu kami bahwa Anda telah memverifikasi bahwa Anda mendukung TLS 1.2. Kami benar-benar tidak ingin memutuskan siapa pun dan tanggal putus akhir adalah September 2020. Jika kami tahu Anda semua berada di zona aman, kami akan merasa jauh lebih baik tentang mematikan dukungan lama.
