Aggiornamento a TLS 1.2
Uccello
20 mag 2020
Ingegneria
1 min read
Punti Chiave
TLS 1.1 è ufficialmente deprecato. Bird (ex SparkPost) non supporta più le connessioni che utilizzano TLS 1.1 dopo settembre 2020. Tutti i sistemi devono supportare TLS 1.2 o superiore per mantenere una connettività sicura.
Perché l'aggiornamento è importante: TLS 1.2 è stato il protocollo raccomandato per oltre un decennio. Offre una crittografia più forte, migliori prestazioni e conformità con gli standard di sicurezza moderni, mentre le versioni precedenti sono vulnerabili ad attacchi.
Come controllare il tuo sistema:
Linux: Usa nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com o openssl per verificare il supporto del protocollo.
macOS: Esegui curl https://api.sparkpost.com/ --tlsv1.2 --verbose nel Terminale.
Windows: Vai a Opzioni Internet → Avanzate e assicurati che “Usa TLS 1.2” sia selezionato.
Come abilitare TLS 1.2:
Su Apache, aggiorna la configurazione SSL: SSLProtocol -all +TLSv1.2
Su Nginx, modifica ssl_protocols TLSv1.2; e riavvia il tuo servizio.
Perché non TLS 1.3 (ancora)? Anche se TLS 1.3 è il passo successivo, i bilanciatori di carico dell'applicazione AWS (utilizzati da SparkPost/Bird) non lo supportavano ancora a quel tempo. Tuttavia, aggiornare OpenSSL a v1.1.1+ ti prepara per una futura transizione facile.
Riconoscimento della sicurezza. Bird ha incoraggiato i primi adottanti a condividere il loro successo nell'aggiornamento e unirsi al loro “muro dell'eccellenza” - celebrando la conformità proattiva alla sicurezza.
Punti salienti del Q&A
Perché è richiesto TLS 1.2?
Perché le versioni precedenti (1.0 e 1.1) non sono sicure e sono state deprecate dall'IETF. TLS 1.2 offre una crittografia più forte e una protezione dell'integrità per le connessioni API e SMTP.
A chi questo riguarda?
Qualsiasi cliente che si connette a Bird (tramite REST API, SMTP, webhook o endpoint metrics) utilizzando una versione obsoleta di TLS.
Come posso testare la mia connessione?
Esegui uno dei comandi di verifica per il tuo sistema operativo (Linux, macOS o Windows). Se l'output mostra un handshake TLSv1.2 riuscito, la tua connessione è conforme.
Cosa succede se non aggiorno?
Le tue connessioni falliranno una volta disabilitato TLS 1.1. Perderai la capacità di inviare messaggi o accedere alle API finché il tuo sistema non supporterà TLS 1.2.
Posso abilitare TLS 1.3 ora?
Puoi farlo, ma potrebbe non essere ancora supportato dagli AWS ALB. Aggiornare OpenSSL alla versione 1.1.1+ garantisce la compatibilità quando TLS 1.3 sarà disponibile.
Devo cambiare qualcosa se utilizzo Bird tramite una libreria o SDK?
La maggior parte dei moderni SDK è già impostata su TLS 1.2. Tuttavia, verifica la configurazione SSL del tuo ambiente o la versione della libreria se è più vecchia della metà del 2018.
C'è un modo per confermare il successo?
Sì — dopo aver testato la tua connessione, Bird ha invitato gli utenti a inviare un'email di conferma al proprio team di supporto, verificando la prontezza prima della scadenza.
Stai utilizzando TLS inferiore a 1.2? Va bene, i ritardi negli aggiornamenti di manutenzione capitano a tutti. Lo capiamo. Tuttavia, è giunto il momento di andare avanti.
Ricordi nel lontano giugno 2018 quando abbiamo deprecato l'uso di TLS 1.0? Se non lo fai, va bene, puoi leggere tutto al riguardo in questo post. Bene, eccoci qui, 2 anni dopo e la prossima versione è in procinto di essere messa da parte, quindi vogliamo che tu sia pronto e che eviti qualsiasi interruzione del servizio. Questo post riguarda proprio la preparazione per funzionare senza l'uso di TLS1.1 in modo da poter limitare l'accesso solo a TLS1.2. Ti guideremo su come controllare la tua versione attuale e come aggiornare all'ultima versione. Solo per divertimento, ci piacerebbe davvero sentire il tuo feedback e aggiungerti a un
Stai utilizzando TLS inferiore a 1.2? Va bene, i ritardi negli aggiornamenti di manutenzione capitano a tutti. Lo capiamo. Tuttavia, è giunto il momento di andare avanti.
Ricordi nel lontano giugno 2018 quando abbiamo deprecato l'uso di TLS 1.0? Se non lo fai, va bene, puoi leggere tutto al riguardo in questo post. Bene, eccoci qui, 2 anni dopo e la prossima versione è in procinto di essere messa da parte, quindi vogliamo che tu sia pronto e che eviti qualsiasi interruzione del servizio. Questo post riguarda proprio la preparazione per funzionare senza l'uso di TLS1.1 in modo da poter limitare l'accesso solo a TLS1.2. Ti guideremo su come controllare la tua versione attuale e come aggiornare all'ultima versione. Solo per divertimento, ci piacerebbe davvero sentire il tuo feedback e aggiungerti a un
Stai utilizzando TLS inferiore a 1.2? Va bene, i ritardi negli aggiornamenti di manutenzione capitano a tutti. Lo capiamo. Tuttavia, è giunto il momento di andare avanti.
Ricordi nel lontano giugno 2018 quando abbiamo deprecato l'uso di TLS 1.0? Se non lo fai, va bene, puoi leggere tutto al riguardo in questo post. Bene, eccoci qui, 2 anni dopo e la prossima versione è in procinto di essere messa da parte, quindi vogliamo che tu sia pronto e che eviti qualsiasi interruzione del servizio. Questo post riguarda proprio la preparazione per funzionare senza l'uso di TLS1.1 in modo da poter limitare l'accesso solo a TLS1.2. Ti guideremo su come controllare la tua versione attuale e come aggiornare all'ultima versione. Solo per divertimento, ci piacerebbe davvero sentire il tuo feedback e aggiungerti a un
Controllo del supporto in Windows
Simile al caso d'uso di Mac, il motivo più comune per cui potresti dover controllare il supporto nel tuo Windows è che lo usi per lo sviluppo locale, quindi supponiamo questo e controlliamo il tuo supporto.
Windows 7 e Windows 10 utilizzano fondamentalmente lo stesso processo. Se stai utilizzando una versione precedente, ti preghiamo di aggiornare poiché le versioni precedenti non supportano TLS 1.2.
Inizia cliccando su START nell'angolo in basso a sinistra (di solito).
Digita “Opzioni Internet” e seleziona l'abbinamento dall'elenco risultante.
Clicca sulla scheda Avanzate e da lì scorri fino in fondo. Se TLS 1.2 è selezionato sei già a posto. Se non lo è, ti preghiamo di spuntare la casella accanto a Usa TLS 1.2 e poi Applica.
Simile al caso d'uso di Mac, il motivo più comune per cui potresti dover controllare il supporto nel tuo Windows è che lo usi per lo sviluppo locale, quindi supponiamo questo e controlliamo il tuo supporto.
Windows 7 e Windows 10 utilizzano fondamentalmente lo stesso processo. Se stai utilizzando una versione precedente, ti preghiamo di aggiornare poiché le versioni precedenti non supportano TLS 1.2.
Inizia cliccando su START nell'angolo in basso a sinistra (di solito).
Digita “Opzioni Internet” e seleziona l'abbinamento dall'elenco risultante.
Clicca sulla scheda Avanzate e da lì scorri fino in fondo. Se TLS 1.2 è selezionato sei già a posto. Se non lo è, ti preghiamo di spuntare la casella accanto a Usa TLS 1.2 e poi Applica.
Simile al caso d'uso di Mac, il motivo più comune per cui potresti dover controllare il supporto nel tuo Windows è che lo usi per lo sviluppo locale, quindi supponiamo questo e controlliamo il tuo supporto.
Windows 7 e Windows 10 utilizzano fondamentalmente lo stesso processo. Se stai utilizzando una versione precedente, ti preghiamo di aggiornare poiché le versioni precedenti non supportano TLS 1.2.
Inizia cliccando su START nell'angolo in basso a sinistra (di solito).
Digita “Opzioni Internet” e seleziona l'abbinamento dall'elenco risultante.
Clicca sulla scheda Avanzate e da lì scorri fino in fondo. Se TLS 1.2 è selezionato sei già a posto. Se non lo è, ti preghiamo di spuntare la casella accanto a Usa TLS 1.2 e poi Applica.
Mi riguarda?
Tornati nel 2018, abbiamo chiesto ai nostri clienti di aggiornare, e TLS 1.2 è stata la raccomandazione per un bel po' di tempo, quindi è molto probabile che tu non sia COLPITO. Tuttavia, se usi qualsiasi metodo per iniettare messaggi (SMTP o REST API) o raccogliere dati (metriche o webhook, ecc.), allora dovresti davvero controllare ora per assicurarti che il tuo sistema possa supportare TLS 1.2. Assicurati di eseguire i seguenti test sui server che si connettono effettivamente a SparkPost.
Tornati nel 2018, abbiamo chiesto ai nostri clienti di aggiornare, e TLS 1.2 è stata la raccomandazione per un bel po' di tempo, quindi è molto probabile che tu non sia COLPITO. Tuttavia, se usi qualsiasi metodo per iniettare messaggi (SMTP o REST API) o raccogliere dati (metriche o webhook, ecc.), allora dovresti davvero controllare ora per assicurarti che il tuo sistema possa supportare TLS 1.2. Assicurati di eseguire i seguenti test sui server che si connettono effettivamente a SparkPost.
Tornati nel 2018, abbiamo chiesto ai nostri clienti di aggiornare, e TLS 1.2 è stata la raccomandazione per un bel po' di tempo, quindi è molto probabile che tu non sia COLPITO. Tuttavia, se usi qualsiasi metodo per iniettare messaggi (SMTP o REST API) o raccogliere dati (metriche o webhook, ecc.), allora dovresti davvero controllare ora per assicurarti che il tuo sistema possa supportare TLS 1.2. Assicurati di eseguire i seguenti test sui server che si connettono effettivamente a SparkPost.
Perché è importante
Perché l'aggiornamento a TLS 1.2 è importante
Perché l'aggiornamento a TLS 1.2 è importante | Dettagli |
|---|---|
Il supporto per TLS 1.1 sta per terminare | SparkPost non accetterà più connessioni TLS 1.1 dopo settembre 2020 |
Versioni più vecchie sono insicure | I protocolli TLS legacy sono vulnerabili ai metodi di attacco moderni |
Conformità agli standard del settore | TLS 1.2 è stato il protocollo sicuro raccomandato per anni |
Migliore prestazione e affidabilità | Connessioni criptate più veloci e stabili |
Ufficialmente deprecato | Gli standard IETF classificano TLS 1.1 come obsoleto |
Perché l'aggiornamento a TLS 1.2 è importante
Perché l'aggiornamento a TLS 1.2 è importante | Dettagli |
|---|---|
Il supporto per TLS 1.1 sta per terminare | SparkPost non accetterà più connessioni TLS 1.1 dopo settembre 2020 |
Versioni più vecchie sono insicure | I protocolli TLS legacy sono vulnerabili ai metodi di attacco moderni |
Conformità agli standard del settore | TLS 1.2 è stato il protocollo sicuro raccomandato per anni |
Migliore prestazione e affidabilità | Connessioni criptate più veloci e stabili |
Ufficialmente deprecato | Gli standard IETF classificano TLS 1.1 come obsoleto |
Perché l'aggiornamento a TLS 1.2 è importante
Perché l'aggiornamento a TLS 1.2 è importante | Dettagli |
|---|---|
Il supporto per TLS 1.1 sta per terminare | SparkPost non accetterà più connessioni TLS 1.1 dopo settembre 2020 |
Versioni più vecchie sono insicure | I protocolli TLS legacy sono vulnerabili ai metodi di attacco moderni |
Conformità agli standard del settore | TLS 1.2 è stato il protocollo sicuro raccomandato per anni |
Migliore prestazione e affidabilità | Connessioni criptate più veloci e stabili |
Ufficialmente deprecato | Gli standard IETF classificano TLS 1.1 come obsoleto |
Perché adesso?
In realtà, la domanda dovrebbe essere “perché continui a supportarlo?” TLS 1.2 è stato lo standard sicuro raccomandato per oltre un decennio e siamo arrivati al punto critico in cui chiunque offre effettivamente supporto per qualcosa di meno di TLS 1.2. È tempo che il supporto HTTPS debole sparisca una volta per tutte. Se stai ancora utilizzando TLS 1.1 dopo marzo 2020 avrai difficoltà a connetterti alla maggior parte dei servizi. SparkPost ha fornito ampio tempo per aggiornare e ora stiamo inviando avvisi finali per ottenere questo aggiornamento prima di settembre, quando lo disattiveremo definitivamente.
In realtà, la domanda dovrebbe essere “perché continui a supportarlo?” TLS 1.2 è stato lo standard sicuro raccomandato per oltre un decennio e siamo arrivati al punto critico in cui chiunque offre effettivamente supporto per qualcosa di meno di TLS 1.2. È tempo che il supporto HTTPS debole sparisca una volta per tutte. Se stai ancora utilizzando TLS 1.1 dopo marzo 2020 avrai difficoltà a connetterti alla maggior parte dei servizi. SparkPost ha fornito ampio tempo per aggiornare e ora stiamo inviando avvisi finali per ottenere questo aggiornamento prima di settembre, quando lo disattiveremo definitivamente.
In realtà, la domanda dovrebbe essere “perché continui a supportarlo?” TLS 1.2 è stato lo standard sicuro raccomandato per oltre un decennio e siamo arrivati al punto critico in cui chiunque offre effettivamente supporto per qualcosa di meno di TLS 1.2. È tempo che il supporto HTTPS debole sparisca una volta per tutte. Se stai ancora utilizzando TLS 1.1 dopo marzo 2020 avrai difficoltà a connetterti alla maggior parte dei servizi. SparkPost ha fornito ampio tempo per aggiornare e ora stiamo inviando avvisi finali per ottenere questo aggiornamento prima di settembre, quando lo disattiveremo definitivamente.
Ma come, ti prego, puoi sistemarlo?
È molto probabile che il tuo SysAdmin IT o WebAdmin lo abbia già fatto per te come parte della loro normale manutenzione. Se sì, dovresti comprar loro una birra e dire grazie. Se no, puoi seguire alcuni dei passaggi qui sotto per farlo in Linux, Windows e Mac.
Nota che in tutto questo documento testeremo con il punto finale SparkPost degli Stati Uniti
Se normalmente utilizzi il deployment europeo, dovresti utilizzare invece il punto finale dell'UE.
È molto probabile che il tuo SysAdmin IT o WebAdmin lo abbia già fatto per te come parte della loro normale manutenzione. Se sì, dovresti comprar loro una birra e dire grazie. Se no, puoi seguire alcuni dei passaggi qui sotto per farlo in Linux, Windows e Mac.
Nota che in tutto questo documento testeremo con il punto finale SparkPost degli Stati Uniti
Se normalmente utilizzi il deployment europeo, dovresti utilizzare invece il punto finale dell'UE.
È molto probabile che il tuo SysAdmin IT o WebAdmin lo abbia già fatto per te come parte della loro normale manutenzione. Se sì, dovresti comprar loro una birra e dire grazie. Se no, puoi seguire alcuni dei passaggi qui sotto per farlo in Linux, Windows e Mac.
Nota che in tutto questo documento testeremo con il punto finale SparkPost degli Stati Uniti
Se normalmente utilizzi il deployment europeo, dovresti utilizzare invece il punto finale dell'UE.
Come puoi controllare? (versione Linux)
Prima di tutto, controlliamo se il tuo amichevole SysAdmin di quartiere si è già occupato di questo per te. Questo fa parte della configurazione SSL, quindi può essere gestito nella configurazione del tuo sistema. Presumendo che tu stia utilizzando Linux, il metodo più descrittivo è usare nmap ma puoi usare anche openssl. Puoi usare nmap su Linux, Windows e Mac, ma esploreremo anche altri metodi per Windows e Mac se non vuoi installare nuovo software.
Per farlo con nmap, testa i ciphers contro un host HTTPS conosciuto. Poiché l'obiettivo è assicurarsi che ci connettiamo a SparkPost in modo sicuro, testiamo contro quell'endpoint. Assicurati di eseguire i seguenti test sui server che effettivamente si connettono a SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Questo è stato fatto sul mio server di sviluppo e puoi facilmente vedere che la mia configurazione supporta TLS 1.1 e 1.2 ma non 1.3. È importante notare a questo punto che gli ALB di AWS, e quindi le connessioni a SparkPost, non supportano ancora TLS1.3, ma è nella roadmap di AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
A questo punto, puoi effettivamente fermarti se vuoi perché l'obiettivo è assicurarti di poter connetterti a SparkPost utilizzando TLS 1.2. Se la tua connessione supporta TLS 1.2, questo è ciò di cui abbiamo bisogno a questo punto, quindi va tutto bene qui. Vai a comprare una birra a quel SysAdmin e dille grazie.
Inviaci un email e facci sapere se hai avuto successo.
Prima di tutto, controlliamo se il tuo amichevole SysAdmin di quartiere si è già occupato di questo per te. Questo fa parte della configurazione SSL, quindi può essere gestito nella configurazione del tuo sistema. Presumendo che tu stia utilizzando Linux, il metodo più descrittivo è usare nmap ma puoi usare anche openssl. Puoi usare nmap su Linux, Windows e Mac, ma esploreremo anche altri metodi per Windows e Mac se non vuoi installare nuovo software.
Per farlo con nmap, testa i ciphers contro un host HTTPS conosciuto. Poiché l'obiettivo è assicurarsi che ci connettiamo a SparkPost in modo sicuro, testiamo contro quell'endpoint. Assicurati di eseguire i seguenti test sui server che effettivamente si connettono a SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Questo è stato fatto sul mio server di sviluppo e puoi facilmente vedere che la mia configurazione supporta TLS 1.1 e 1.2 ma non 1.3. È importante notare a questo punto che gli ALB di AWS, e quindi le connessioni a SparkPost, non supportano ancora TLS1.3, ma è nella roadmap di AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
A questo punto, puoi effettivamente fermarti se vuoi perché l'obiettivo è assicurarti di poter connetterti a SparkPost utilizzando TLS 1.2. Se la tua connessione supporta TLS 1.2, questo è ciò di cui abbiamo bisogno a questo punto, quindi va tutto bene qui. Vai a comprare una birra a quel SysAdmin e dille grazie.
Inviaci un email e facci sapere se hai avuto successo.
Prima di tutto, controlliamo se il tuo amichevole SysAdmin di quartiere si è già occupato di questo per te. Questo fa parte della configurazione SSL, quindi può essere gestito nella configurazione del tuo sistema. Presumendo che tu stia utilizzando Linux, il metodo più descrittivo è usare nmap ma puoi usare anche openssl. Puoi usare nmap su Linux, Windows e Mac, ma esploreremo anche altri metodi per Windows e Mac se non vuoi installare nuovo software.
Per farlo con nmap, testa i ciphers contro un host HTTPS conosciuto. Poiché l'obiettivo è assicurarsi che ci connettiamo a SparkPost in modo sicuro, testiamo contro quell'endpoint. Assicurati di eseguire i seguenti test sui server che effettivamente si connettono a SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Questo è stato fatto sul mio server di sviluppo e puoi facilmente vedere che la mia configurazione supporta TLS 1.1 e 1.2 ma non 1.3. È importante notare a questo punto che gli ALB di AWS, e quindi le connessioni a SparkPost, non supportano ancora TLS1.3, ma è nella roadmap di AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
A questo punto, puoi effettivamente fermarti se vuoi perché l'obiettivo è assicurarti di poter connetterti a SparkPost utilizzando TLS 1.2. Se la tua connessione supporta TLS 1.2, questo è ciò di cui abbiamo bisogno a questo punto, quindi va tutto bene qui. Vai a comprare una birra a quel SysAdmin e dille grazie.
Inviaci un email e facci sapere se hai avuto successo.
Controllare il supporto sul tuo Mac
Il motivo più comune per cui potresti avere bisogno di controllare il supporto sul tuo Mac è che lo usi per lo sviluppo locale, quindi assumiamo che sia così e controlliamo il tuo supporto.
Il metodo meno invasivo è utilizzare curl, che dovrebbe essere integrato in ogni Mac. Avvia l'applicazione Terminale e usa il flag del protocollo per testare specificamente per TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Se vuoi testare utilizzando la connessione SMTP, puoi farlo anche con questo comando:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Restituisce una grande quantità di dati tra cui:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
Il motivo più comune per cui potresti avere bisogno di controllare il supporto sul tuo Mac è che lo usi per lo sviluppo locale, quindi assumiamo che sia così e controlliamo il tuo supporto.
Il metodo meno invasivo è utilizzare curl, che dovrebbe essere integrato in ogni Mac. Avvia l'applicazione Terminale e usa il flag del protocollo per testare specificamente per TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Se vuoi testare utilizzando la connessione SMTP, puoi farlo anche con questo comando:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Restituisce una grande quantità di dati tra cui:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
Il motivo più comune per cui potresti avere bisogno di controllare il supporto sul tuo Mac è che lo usi per lo sviluppo locale, quindi assumiamo che sia così e controlliamo il tuo supporto.
Il metodo meno invasivo è utilizzare curl, che dovrebbe essere integrato in ogni Mac. Avvia l'applicazione Terminale e usa il flag del protocollo per testare specificamente per TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Se vuoi testare utilizzando la connessione SMTP, puoi farlo anche con questo comando:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Restituisce una grande quantità di dati tra cui:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
Fare un passo avanti
Perché fermarsi a TLS 1.2 quando sai – lo sai e basta – che dovremo tutti aggiornare a TLS 1.3 nei prossimi anno o giù di lì. Perché non aggiornare direttamente a TLSv1.3 mentre ci siamo?
Sfortunatamente, gli AWS ALB non supportano ancora TLS1.3, quindi se aggiorni la tua configurazione, la tua connessione a SparkPost e a qualsiasi altro servizio AWS che utilizza il livello ALB sarà comunque limitata a TLS1.2. Personalmente, penso ancora che sia una buona idea essere proattivi e aggiornare a 1.3 mentre stai facendo delle modifiche comunque.
Se vuoi aggiungere il supporto per TLS 1.3, probabilmente dovrai prima aggiornare la tua libreria OpenSSL a V1.1.1 o successiva e poi aggiungere +TLSv1.3 alla linea di protocollo menzionata sopra. Istruzioni simili possono essere trovate qui anche per Nginx e Cloudflare.
Perché fermarsi a TLS 1.2 quando sai – lo sai e basta – che dovremo tutti aggiornare a TLS 1.3 nei prossimi anno o giù di lì. Perché non aggiornare direttamente a TLSv1.3 mentre ci siamo?
Sfortunatamente, gli AWS ALB non supportano ancora TLS1.3, quindi se aggiorni la tua configurazione, la tua connessione a SparkPost e a qualsiasi altro servizio AWS che utilizza il livello ALB sarà comunque limitata a TLS1.2. Personalmente, penso ancora che sia una buona idea essere proattivi e aggiornare a 1.3 mentre stai facendo delle modifiche comunque.
Se vuoi aggiungere il supporto per TLS 1.3, probabilmente dovrai prima aggiornare la tua libreria OpenSSL a V1.1.1 o successiva e poi aggiungere +TLSv1.3 alla linea di protocollo menzionata sopra. Istruzioni simili possono essere trovate qui anche per Nginx e Cloudflare.
Perché fermarsi a TLS 1.2 quando sai – lo sai e basta – che dovremo tutti aggiornare a TLS 1.3 nei prossimi anno o giù di lì. Perché non aggiornare direttamente a TLSv1.3 mentre ci siamo?
Sfortunatamente, gli AWS ALB non supportano ancora TLS1.3, quindi se aggiorni la tua configurazione, la tua connessione a SparkPost e a qualsiasi altro servizio AWS che utilizza il livello ALB sarà comunque limitata a TLS1.2. Personalmente, penso ancora che sia una buona idea essere proattivi e aggiornare a 1.3 mentre stai facendo delle modifiche comunque.
Se vuoi aggiungere il supporto per TLS 1.3, probabilmente dovrai prima aggiornare la tua libreria OpenSSL a V1.1.1 o successiva e poi aggiungere +TLSv1.3 alla linea di protocollo menzionata sopra. Istruzioni simili possono essere trovate qui anche per Nginx e Cloudflare.
Stai al sicuro là fuori
Infine, sarebbe fantastico se potessi inviarci una veloce email per farci sapere che hai verificato di essere compatibile con TLS 1.2. Non vogliamo assolutamente escludere nessuno e la data limite è settembre 2020. Se sappiamo che siete tutti nella zona sicura, ci sentiremo molto meglio a disattivare il vecchio supporto.
Infine, sarebbe fantastico se potessi inviarci una veloce email per farci sapere che hai verificato di essere compatibile con TLS 1.2. Non vogliamo assolutamente escludere nessuno e la data limite è settembre 2020. Se sappiamo che siete tutti nella zona sicura, ci sentiremo molto meglio a disattivare il vecchio supporto.
Infine, sarebbe fantastico se potessi inviarci una veloce email per farci sapere che hai verificato di essere compatibile con TLS 1.2. Non vogliamo assolutamente escludere nessuno e la data limite è settembre 2020. Se sappiamo che siete tutti nella zona sicura, ci sentiremo molto meglio a disattivare il vecchio supporto.
