Aggiornamento a TLS 1.2
Ingegneria
·
20 mag 2020
Punti Chiave
TLS 1.1 è ufficialmente deprecato. Bird (ex SparkPost) non supporta più le connessioni che utilizzano TLS 1.1 dopo settembre 2020. Tutti i sistemi devono supportare TLS 1.2 o superiore per mantenere una connettività sicura.
Perché l'aggiornamento è importante: TLS 1.2 è stato il protocollo raccomandato per oltre un decennio. Offre una crittografia più forte, migliori prestazioni e conformità con gli standard di sicurezza moderni, mentre le versioni precedenti sono vulnerabili ad attacchi.
Come controllare il tuo sistema:
Linux: Usa nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com o openssl per verificare il supporto del protocollo.
macOS: Esegui curl https://api.sparkpost.com/ --tlsv1.2 --verbose nel Terminale.
Windows: Vai a Opzioni Internet → Avanzate e assicurati che “Usa TLS 1.2” sia selezionato.
Come abilitare TLS 1.2:
Su Apache, aggiorna la configurazione SSL: SSLProtocol -all +TLSv1.2
Su Nginx, modifica ssl_protocols TLSv1.2; e riavvia il tuo servizio.
Perché non TLS 1.3 (ancora)? Anche se TLS 1.3 è il passo successivo, i bilanciatori di carico dell'applicazione AWS (utilizzati da SparkPost/Bird) non lo supportavano ancora a quel tempo. Tuttavia, aggiornare OpenSSL a v1.1.1+ ti prepara per una futura transizione facile.
Riconoscimento della sicurezza. Bird ha incoraggiato i primi adottanti a condividere il loro successo nell'aggiornamento e unirsi al loro “muro dell'eccellenza” - celebrando la conformità proattiva alla sicurezza.
Punti salienti del Q&A
Perché è richiesto TLS 1.2?
Perché le versioni precedenti (1.0 e 1.1) non sono sicure e sono state deprecate dall'IETF. TLS 1.2 offre una crittografia più forte e una protezione dell'integrità per le connessioni API e SMTP.
A chi questo riguarda?
Qualsiasi cliente che si connette a Bird (tramite REST API, SMTP, webhook o endpoint metrics) utilizzando una versione obsoleta di TLS.
Come posso testare la mia connessione?
Esegui uno dei comandi di verifica per il tuo sistema operativo (Linux, macOS o Windows). Se l'output mostra un handshake TLSv1.2 riuscito, la tua connessione è conforme.
Cosa succede se non aggiorno?
Le tue connessioni falliranno una volta disabilitato TLS 1.1. Perderai la capacità di inviare messaggi o accedere alle API finché il tuo sistema non supporterà TLS 1.2.
Posso abilitare TLS 1.3 ora?
Puoi farlo, ma potrebbe non essere ancora supportato dagli AWS ALB. Aggiornare OpenSSL alla versione 1.1.1+ garantisce la compatibilità quando TLS 1.3 sarà disponibile.
Devo cambiare qualcosa se utilizzo Bird tramite una libreria o SDK?
La maggior parte dei moderni SDK è già impostata su TLS 1.2. Tuttavia, verifica la configurazione SSL del tuo ambiente o la versione della libreria se è più vecchia della metà del 2018.
C'è un modo per confermare il successo?
Sì — dopo aver testato la tua connessione, Bird ha invitato gli utenti a inviare un'email di conferma al proprio team di supporto, verificando la prontezza prima della scadenza.
Stai utilizzando TLS inferiore a 1.2? Va bene, i ritardi negli aggiornamenti di manutenzione capitano a tutti. Lo capiamo. Tuttavia, è giunto il momento di andare avanti.
Ricordi nel lontano giugno 2018 quando abbiamo deprecato l'uso di TLS 1.0? Se non lo fai, va bene, puoi leggere tutto al riguardo in questo post. Bene, eccoci qui, 2 anni dopo e la prossima versione è in procinto di essere messa da parte, quindi vogliamo che tu sia pronto e che eviti qualsiasi interruzione del servizio. Questo post riguarda proprio la preparazione per funzionare senza l'uso di TLS1.1 in modo da poter limitare l'accesso solo a TLS1.2. Ti guideremo su come controllare la tua versione attuale e come aggiornare all'ultima versione. Solo per divertimento, ci piacerebbe davvero sentire il tuo feedback e aggiungerti a un
Controllo del supporto in Windows
Simile al caso d'uso di Mac, il motivo più comune per cui potresti dover controllare il supporto nel tuo Windows è che lo usi per lo sviluppo locale, quindi supponiamo questo e controlliamo il tuo supporto.
Windows 7 e Windows 10 utilizzano fondamentalmente lo stesso processo. Se stai utilizzando una versione precedente, ti preghiamo di aggiornare poiché le versioni precedenti non supportano TLS 1.2.
Inizia cliccando su START nell'angolo in basso a sinistra (di solito).
Digita “Opzioni Internet” e seleziona l'abbinamento dall'elenco risultante.
Clicca sulla scheda Avanzate e da lì scorri fino in fondo. Se TLS 1.2 è selezionato sei già a posto. Se non lo è, ti preghiamo di spuntare la casella accanto a Usa TLS 1.2 e poi Applica.
Mi riguarda?
Tornati nel 2018, abbiamo chiesto ai nostri clienti di aggiornare, e TLS 1.2 è stata la raccomandazione per un bel po' di tempo, quindi è molto probabile che tu non sia COLPITO. Tuttavia, se usi qualsiasi metodo per iniettare messaggi (SMTP o REST API) o raccogliere dati (metriche o webhook, ecc.), allora dovresti davvero controllare ora per assicurarti che il tuo sistema possa supportare TLS 1.2. Assicurati di eseguire i seguenti test sui server che si connettono effettivamente a SparkPost.
Perché è importante
Perché adesso?
In realtà, la domanda dovrebbe essere “perché continui a supportarlo?” TLS 1.2 è stato lo standard sicuro raccomandato per oltre un decennio e siamo arrivati al punto critico in cui chiunque offre effettivamente supporto per qualcosa di meno di TLS 1.2. È tempo che il supporto HTTPS debole sparisca una volta per tutte. Se stai ancora utilizzando TLS 1.1 dopo marzo 2020 avrai difficoltà a connetterti alla maggior parte dei servizi. SparkPost ha fornito ampio tempo per aggiornare e ora stiamo inviando avvisi finali per ottenere questo aggiornamento prima di settembre, quando lo disattiveremo definitivamente.
Ma come, ti prego, puoi sistemarlo?
È molto probabile che il tuo SysAdmin IT o WebAdmin lo abbia già fatto per te come parte della loro normale manutenzione. Se sì, dovresti comprar loro una birra e dire grazie. Se no, puoi seguire alcuni dei passaggi qui sotto per farlo in Linux, Windows e Mac.
Nota che in tutto questo documento testeremo con il punto finale SparkPost degli Stati Uniti
Se normalmente utilizzi il deployment europeo, dovresti utilizzare invece il punto finale dell'UE.
Come puoi controllare? (versione Linux)
Controllare il supporto sul tuo Mac
Fare un passo avanti
Perché fermarsi a TLS 1.2 quando sai – lo sai e basta – che dovremo tutti aggiornare a TLS 1.3 nei prossimi anno o giù di lì. Perché non aggiornare direttamente a TLSv1.3 mentre ci siamo?
Sfortunatamente, gli AWS ALB non supportano ancora TLS1.3, quindi se aggiorni la tua configurazione, la tua connessione a SparkPost e a qualsiasi altro servizio AWS che utilizza il livello ALB sarà comunque limitata a TLS1.2. Personalmente, penso ancora che sia una buona idea essere proattivi e aggiornare a 1.3 mentre stai facendo delle modifiche comunque.
Se vuoi aggiungere il supporto per TLS 1.3, probabilmente dovrai prima aggiornare la tua libreria OpenSSL a V1.1.1 o successiva e poi aggiungere +TLSv1.3 alla linea di protocollo menzionata sopra. Istruzioni simili possono essere trovate qui anche per Nginx e Cloudflare.
Stai al sicuro là fuori
Infine, sarebbe fantastico se potessi inviarci una veloce email per farci sapere che hai verificato di essere compatibile con TLS 1.2. Non vogliamo assolutamente escludere nessuno e la data limite è settembre 2020. Se sappiamo che siete tutti nella zona sicura, ci sentiremo molto meglio a disattivare il vecchio supporto.
