Upgraden naar TLS 1.2
Techniek
·
20 mei 2020
Belangrijkste punten
TLS 1.1 is officieel verouderd. Bird (voorheen SparkPost) ondersteunt na september 2020 geen verbindingen meer met TLS 1.1. Alle systemen moeten TLS 1.2 of hoger ondersteunen om een veilige connectiviteit te behouden.
Waarom de upgrade ertoe doet: TLS 1.2 is al meer dan tien jaar het aanbevolen protocol. Het biedt sterkere encryptie, betere prestaties en voldoet aan moderne beveiligingsstandaarden, terwijl oudere versies kwetsbaar zijn voor aanvallen.
Hoe u uw systeem kunt controleren:
Linux: Gebruik nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com of openssl om protocolondersteuning te verifiëren.
macOS: Voer curl https://api.sparkpost.com/ --tlsv1.2 --verbose uit in Terminal.
Windows: Ga naar Internetopties → Geavanceerd en zorg ervoor dat "Gebruik TLS 1.2" is aangevinkt.
Hoe TLS 1.2 inschakelen:
Op Apache, werk de SSL-configuratie bij: SSLProtocol -all +TLSv1.2
Op Nginx, wijzig ssl_protocols TLSv1.2; en herstart uw service.
Waarom nog geen TLS 1.3? Hoewel TLS 1.3 de volgende stap is, ondersteunden de AWS Application Load Balancers (gebruikt door SparkPost/Bird) het op dat moment nog niet. Het upgraden van OpenSSL naar v1.1.1+ bereidt u echter voor op een gemakkelijke toekomstige transitie.
Beveiligingsbewuste erkenning. Bird moedigde vroege gebruikers aan om hun upgrade-succes te delen en zich aan te sluiten bij hun "muur van geweldig"—het vieren van proactieve naleving van beveiligingsnormen.
Q&A Hoogtepunten
Waarom is TLS 1.2 vereist?
Omdat eerdere versies (1.0 en 1.1) onveilig zijn en door de IETF zijn afgeschaft. TLS 1.2 biedt sterkere encryptie en integriteitsbescherming voor API- en SMTP-verbindingen.
Wie heeft dit effect?
Elke klant die verbinding maakt met Bird (via REST API, SMTP, webhooks of metric-eindpunten) met een verouderde TLS-versie.
Hoe kan ik mijn verbinding testen?
Voer een van de verificatiecommando's uit voor uw OS (Linux, macOS of Windows). Als de uitvoer een succesvolle TLSv1.2-handshake toont, is uw verbinding compliant.
Wat gebeurt er als I niet upgrade?
Uw verbindingen zullen mislukken zodra TLS 1.1 is uitgeschakeld. U zult het vermogen verliezen om berichten te verzenden of toegang te krijgen tot API's totdat uw systeem TLS 1.2 ondersteunt.
Kan ik TLS 1.3 nu inschakelen?
Het kan, maar het wordt mogelijk nog niet ondersteund door AWS ALBs. Het updaten van OpenSSL naar v1.1.1+ zorgt voor compatibiliteit wanneer TLS 1.3 beschikbaar wordt.
Moet ik iets veranderen als ik Bird gebruik via een library of SDK?
De meeste moderne SDK's gebruiken standaard al TLS 1.2. Controleer echter de SSL-configuratie of bibliotheekversie van uw omgeving als deze ouder is dan midden 2018.
Is er een manier om succes te bevestigen?
Ja — na het testen van je verbinding, nodigde Bird gebruikers uit om een e-mailbevestiging naar hun ondersteuningsteam te sturen, waarmee de gereedheid voor de uiterste datum werd bevestigd.
Gebruik je TLS ouder dan 1.2? Het is oké, onderhoudsupdatevertragingen gebeuren bij iedereen. We snappen het. Maar het is tijd om verder te gaan.
Weet je nog in juni 2018 toen we het gebruik van TLS 1.0 hebben afgeschaft? Zo niet, dat is oké, je kunt er alles over lezen in dit bericht. Nou, hier zijn we, 2 jaar later en de volgende versie staat op het punt om aan de kant geschoven te worden, dus we willen dat je voorbereid bent en elke onderbreking in de service vermijdt. Dit bericht gaat helemaal over je voorbereiden op het draaien zonder het gebruik van TLS1.1 zodat we de toegang tot TLS1.2 alleen kunnen beperken. We zullen je begeleiden bij hoe je je huidige versie kunt controleren en hoe je kunt upgraden naar de nieuwste. Voor de lol willen we echt graag je feedback horen en je toevoegen aan een 'wall of awesomeness' met alle beveiligingsbewuste bedrijven die vroegtijdig de verandering doorvoeren.
Controleren op ondersteuning in Windows
Vergelijkbaar met de Mac-gebruikscase, is de meest voorkomende reden waarom je mogelijk ondersteuning in je Windows moet controleren dat je het gebruikt voor lokale ontwikkeling, dus laten we dat aannemen en je ondersteuning controleren.
Windows 7 en Windows 10 gebruiken in principe hetzelfde proces. Als je iets ouder gebruikt, upgrade dan alsjeblieft, aangezien eerdere versies TLS 1.2 niet ondersteunen.
Begin met het klikken op START in de linkerbenedenhoek (meestal).
Typ "Internetopties" en selecteer de overeenkomst in de resulterende lijst.
Klik op het tabblad Geavanceerd en scroll daar naar helemaal onderaan. Als TLS 1.2 is aangevinkt, ben je al helemaal klaar. Als dat niet het geval is, vink dan het vakje naast Gebruik TLS 1.2 aan en klik vervolgens op Toepassen.
Heeft dit invloed op mij?
Al in 2018 vroegen we onze klanten om te upgraden, en TLS 1.2 is al geruime tijd de aanbeveling, dus het is zeer waarschijnlijk dat u NIET getroffen bent. Echter, als u een methode gebruikt om berichten te injecteren (SMTP of REST API) of gegevens verzamelt (metrics of webhooks, etc.), dan moet u nu echt controleren of uw systeem TLS 1.2 kan ondersteunen. Zorg ervoor dat u de volgende tests uitvoert op de servers die daadwerkelijk verbinding maken met SparkPost.
Waarom het belangrijk is
Waarom nu?
Eigenlijk zou de vraag moeten zijn "waarom ondersteun je het nog steeds?" TLS 1.2 is al meer dan een decennium de aanbevolen beveiligde standaard en we zitten in de laatste fase waarin iemand überhaupt nog enige ondersteuning biedt voor iets minder dan TLS1.2. Het is tijd voor zwakke HTTPS-ondersteuning om voorgoed te verdwijnen. Als je na maart 2020 nog TLS 1.1 gebruikt, zul je moeite hebben om verbinding te maken met de meeste diensten. SparkPost heeft voldoende tijd gegeven om dit bij te werken en nu sturen we de laatste kennisgevingen om deze upgrade uit te voeren vóór september wanneer we het voorgoed afschaffen.
Maar hoe, bid vertel, kun je het oplossen?
Het is heel goed mogelijk dat uw IT SysAdmin of WebAdmin dit al voor u heeft gedaan als onderdeel van hun normale onderhoud. Als dat zo is, moet u hen een biertje kopen en bedanken. Zo niet, dan kunt u enkele van de onderstaande stappen volgen om het gedaan te krijgen in Linux, Windows en Mac.
Let op dat we in dit document testen met het Amerikaanse SparkPost-eindpunt
Als u normaal gesproken de Europese implementatie gebruikt, moet u in plaats daarvan het EU-eindpunt gebruiken.
Hoe kunt u dit controleren? (Linux-versie)
Controleer de ondersteuning op je Mac
Een stap verder gaan
Waarom stoppen bij TLS 1.2 als je weet – je weet gewoon – dat we allemaal binnenkort moeten upgraden naar TLS 1.3 in het komende jaar of zo. Waarom niet gewoon upgraden naar TLSv1.3 terwijl we toch bezig zijn?
Helaas ondersteunen AWS ALBs TLS1.3 nog niet, dus als je je configuratie upgradet, blijft je verbinding met SparkPost en andere AWS-diensten die de ALB-laag gebruiken beperkt tot TLS1.2. Persoonlijk denk ik nog steeds dat het een goed idee is om voorop te lopen en naar 1.3 te upgraden terwijl je toch wijzigingen aanbrengt.
Als je TLS 1.3-ondersteuning wilt toevoegen, moet je waarschijnlijk eerst je OpenSSL-bibliotheek bijwerken naar V1.1.1 of later en dan +TLSv1.3 toevoegen aan de protocolregel die hierboven wordt genoemd. Vergelijkbare instructies zijn hier te vinden voor Nginx en Cloudflare.
Blijf veilig daarbuiten
Uiteindelijk zou het geweldig zijn als u ons een snel e-mailtje kunt sturen om ons te laten weten dat u in staat bent om TLS 1.2 te gebruiken. We willen echt niemand afsluiten en de uiterste datum is september 2020. Als we weten dat u zich in de veilige zone bevindt, zullen we ons veel beter voelen over het uitschakelen van de oude ondersteuning.
