Atualizando para TLS 1.2
Pássaro
20 de mai. de 2020
Engenharia
1 min read
Principais Conclusões
TLS 1.1 está oficialmente obsoleto. Bird (antigamente SparkPost) não suporta mais conexões usando TLS 1.1 após setembro de 2020. Todos os sistemas devem suportar TLS 1.2 ou superior para manter a conectividade segura.
Por que a atualização é importante: TLS 1.2 tem sido o protocolo recomendado há mais de uma década. Ele oferece criptografia mais forte, melhor desempenho e conformidade com padrões de segurança modernos, enquanto versões mais antigas são vulneráveis a ataques.
Como verificar seu sistema:
Linux: Use nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com ou openssl para verificar o suporte ao protocolo.
macOS: Execute curl https://api.sparkpost.com/ --tlsv1.2 --verbose no Terminal.
Windows: Vá para Opções da Internet → Avançado e certifique-se de que “Usar TLS 1.2” esteja marcado.
Como habilitar o TLS 1.2:
No Apache, atualize a configuração SSL: SSLProtocol -all +TLSv1.2
No Nginx, modifique ssl_protocols TLSv1.2; e reinicie seu serviço.
Por que não o TLS 1.3 (ainda)? Embora o TLS 1.3 seja o próximo passo, os Balancers de Carga de Aplicação da AWS (usados pelo SparkPost/Bird) ainda não o suportavam na época. Mesmo assim, atualizar o OpenSSL para v1.1.1+ prepara você para uma fácil transição futura.
Reconhecimento consciente de segurança. A Bird incentivou os primeiros adotantes a compartilhar seu sucesso na atualização e a se juntar à sua “parede da beleza” — celebrando a conformidade proativa com a segurança.
Destaques de Perguntas e Respostas
Por que o TLS 1.2 é necessário?
Porque versões anteriores (1.0 e 1.1) são inseguras e foram descontinuadas pela IETF. O TLS 1.2 oferece criptografia mais forte e proteção de integridade para conexões de API e SMTP.
Quem isso afeta?
Qualquer cliente que se conectar ao Bird (via REST API, SMTP, webhooks ou pontos finais de métricas) usando uma versão desatualizada do TLS.
Como posso testar minha conexão?
Execute um dos comandos de verificação para o seu sistema operacional (Linux, macOS ou Windows). Se a saída mostrar um handshake TLSv1.2 bem-sucedido, sua conexão está em conformidade.
O que acontece se eu não atualizar?
Suas conexões falharão assim que o TLS 1.1 for desativado. Você perderá a capacidade de enviar mensagens ou acessar APIs até que seu sistema suporte TLS 1.2.
Posso habilitar o TLS 1.3 agora?
Você pode, mas pode não ser suportado pelos ALBs da AWS ainda. Atualizar o OpenSSL para a versão 1.1.1+ garante compatibilidade quando o TLS 1.3 estiver disponível.
Preciso mudar alguma coisa se estiver usando o Bird através de uma biblioteca ou SDK?
A maioria dos SDKs modernos já utiliza TLS 1.2 como padrão. No entanto, verifique a configuração SSL do seu ambiente ou a versão da biblioteca se for anterior a meados de 2018.
Há uma maneira de confirmar o sucesso?
Sim — após testar sua conexão, a Bird convidou os usuários a enviar um e-mail de confirmação para sua equipe de suporte, verificando a prontidão antes da data limite.
Você está usando TLS mais antigo que 1.2? Tudo bem, atrasos em atualizações de manutenção acontecem com todos. Nós entendemos. No entanto, é hora de seguir em frente.
Lembre-se, lá em junho de 2018, quando descontinuamos o uso do TLS 1.0? Se você não se lembra, tudo bem, você pode ler tudo sobre isso em este post. Bem, aqui estamos, 2 anos depois e a próxima versão está prestes a ser deixada de lado, então queremos que você esteja preparado e evite qualquer interrupção no serviço. Este post é todo sobre como prepará-lo para operar sem o uso do TLS 1.1, para que possamos restringir o acesso apenas ao TLS 1.2. Vamos orientá-lo sobre como verificar sua versão atual e como atualizar para a mais recente. Só por diversão, realmente gostaríamos de ouvir seu feedback e adicioná-lo a um “mural de excelência” apresentando todas aquelas empresas preocupadas com a segurança que fazem a mudança cedo.
Você está usando TLS mais antigo que 1.2? Tudo bem, atrasos em atualizações de manutenção acontecem com todos. Nós entendemos. No entanto, é hora de seguir em frente.
Lembre-se, lá em junho de 2018, quando descontinuamos o uso do TLS 1.0? Se você não se lembra, tudo bem, você pode ler tudo sobre isso em este post. Bem, aqui estamos, 2 anos depois e a próxima versão está prestes a ser deixada de lado, então queremos que você esteja preparado e evite qualquer interrupção no serviço. Este post é todo sobre como prepará-lo para operar sem o uso do TLS 1.1, para que possamos restringir o acesso apenas ao TLS 1.2. Vamos orientá-lo sobre como verificar sua versão atual e como atualizar para a mais recente. Só por diversão, realmente gostaríamos de ouvir seu feedback e adicioná-lo a um “mural de excelência” apresentando todas aquelas empresas preocupadas com a segurança que fazem a mudança cedo.
Você está usando TLS mais antigo que 1.2? Tudo bem, atrasos em atualizações de manutenção acontecem com todos. Nós entendemos. No entanto, é hora de seguir em frente.
Lembre-se, lá em junho de 2018, quando descontinuamos o uso do TLS 1.0? Se você não se lembra, tudo bem, você pode ler tudo sobre isso em este post. Bem, aqui estamos, 2 anos depois e a próxima versão está prestes a ser deixada de lado, então queremos que você esteja preparado e evite qualquer interrupção no serviço. Este post é todo sobre como prepará-lo para operar sem o uso do TLS 1.1, para que possamos restringir o acesso apenas ao TLS 1.2. Vamos orientá-lo sobre como verificar sua versão atual e como atualizar para a mais recente. Só por diversão, realmente gostaríamos de ouvir seu feedback e adicioná-lo a um “mural de excelência” apresentando todas aquelas empresas preocupadas com a segurança que fazem a mudança cedo.
Verificando suporte no Windows
Semelhante ao caso de uso do Mac, a razão mais comum pela qual você pode precisar verificar o suporte em seu Windows é que você o utiliza para desenvolvimento local, então vamos assumir isso e verificar seu suporte.
Windows 7 e Windows 10 usam basicamente o mesmo processo. Se você estiver usando algo anterior, por favor, faça a atualização, pois versões anteriores não suportam TLS 1.2.
Comece clicando em INICIAR no canto inferior esquerdo (geralmente).
Digite “Opções da Internet” e selecione a correspondência da lista resultante.
Clique na guia Avançado e, a partir daí, role até o final. Se TLS 1.2 estiver marcado, você já está pronto. Se não estiver, por favor, marque a caixa ao lado de Usar TLS 1.2 e depois clique em Aplicar.
Semelhante ao caso de uso do Mac, a razão mais comum pela qual você pode precisar verificar o suporte em seu Windows é que você o utiliza para desenvolvimento local, então vamos assumir isso e verificar seu suporte.
Windows 7 e Windows 10 usam basicamente o mesmo processo. Se você estiver usando algo anterior, por favor, faça a atualização, pois versões anteriores não suportam TLS 1.2.
Comece clicando em INICIAR no canto inferior esquerdo (geralmente).
Digite “Opções da Internet” e selecione a correspondência da lista resultante.
Clique na guia Avançado e, a partir daí, role até o final. Se TLS 1.2 estiver marcado, você já está pronto. Se não estiver, por favor, marque a caixa ao lado de Usar TLS 1.2 e depois clique em Aplicar.
Semelhante ao caso de uso do Mac, a razão mais comum pela qual você pode precisar verificar o suporte em seu Windows é que você o utiliza para desenvolvimento local, então vamos assumir isso e verificar seu suporte.
Windows 7 e Windows 10 usam basicamente o mesmo processo. Se você estiver usando algo anterior, por favor, faça a atualização, pois versões anteriores não suportam TLS 1.2.
Comece clicando em INICIAR no canto inferior esquerdo (geralmente).
Digite “Opções da Internet” e selecione a correspondência da lista resultante.
Clique na guia Avançado e, a partir daí, role até o final. Se TLS 1.2 estiver marcado, você já está pronto. Se não estiver, por favor, marque a caixa ao lado de Usar TLS 1.2 e depois clique em Aplicar.
Isso me afeta?
De volta em 2018, pedimos aos nossos clientes que atualizassem, e o TLS 1.2 tem sido a recomendação por um bom tempo, então é muito provável que você NÃO seja afetado. No entanto, se você usar qualquer método para injetar mensagens (SMTP ou API REST) ou coletar dados (métricas ou webhooks, etc.), então você realmente deve verificar agora para ter certeza de que seu sistema pode suportar o TLS 1.2. Certifique-se de executar os seguintes testes nos servidores que realmente se conectam ao SparkPost.
De volta em 2018, pedimos aos nossos clientes que atualizassem, e o TLS 1.2 tem sido a recomendação por um bom tempo, então é muito provável que você NÃO seja afetado. No entanto, se você usar qualquer método para injetar mensagens (SMTP ou API REST) ou coletar dados (métricas ou webhooks, etc.), então você realmente deve verificar agora para ter certeza de que seu sistema pode suportar o TLS 1.2. Certifique-se de executar os seguintes testes nos servidores que realmente se conectam ao SparkPost.
De volta em 2018, pedimos aos nossos clientes que atualizassem, e o TLS 1.2 tem sido a recomendação por um bom tempo, então é muito provável que você NÃO seja afetado. No entanto, se você usar qualquer método para injetar mensagens (SMTP ou API REST) ou coletar dados (métricas ou webhooks, etc.), então você realmente deve verificar agora para ter certeza de que seu sistema pode suportar o TLS 1.2. Certifique-se de executar os seguintes testes nos servidores que realmente se conectam ao SparkPost.
Por que é importante
Por que a atualização para TLS 1.2 é importante
Por que a atualização para TLS 1.2 é importante | Detalhes |
|---|---|
O suporte ao TLS 1.1 está sendo desativado | O SparkPost não aceitará mais conexões TLS 1.1 após setembro de 2020 |
Versões mais antigas são inseguras | Protocolos TLS legados são vulneráveis a métodos de ataque modernos |
Conformidade com padrões da indústria | TLS 1.2 tem sido o protocolo seguro recomendado por anos |
Melhor desempenho e confiabilidade | Conexões criptografadas mais rápidas e estáveis |
Oficialmente obsoleto | Os padrões do IETF classificam o TLS 1.1 como desatualizado |
Por que a atualização para TLS 1.2 é importante
Por que a atualização para TLS 1.2 é importante | Detalhes |
|---|---|
O suporte ao TLS 1.1 está sendo desativado | O SparkPost não aceitará mais conexões TLS 1.1 após setembro de 2020 |
Versões mais antigas são inseguras | Protocolos TLS legados são vulneráveis a métodos de ataque modernos |
Conformidade com padrões da indústria | TLS 1.2 tem sido o protocolo seguro recomendado por anos |
Melhor desempenho e confiabilidade | Conexões criptografadas mais rápidas e estáveis |
Oficialmente obsoleto | Os padrões do IETF classificam o TLS 1.1 como desatualizado |
Por que a atualização para TLS 1.2 é importante
Por que a atualização para TLS 1.2 é importante | Detalhes |
|---|---|
O suporte ao TLS 1.1 está sendo desativado | O SparkPost não aceitará mais conexões TLS 1.1 após setembro de 2020 |
Versões mais antigas são inseguras | Protocolos TLS legados são vulneráveis a métodos de ataque modernos |
Conformidade com padrões da indústria | TLS 1.2 tem sido o protocolo seguro recomendado por anos |
Melhor desempenho e confiabilidade | Conexões criptografadas mais rápidas e estáveis |
Oficialmente obsoleto | Os padrões do IETF classificam o TLS 1.1 como desatualizado |
Por que agora?
Na verdade, a pergunta deveria ser “por que você ainda está apoiando isso?” TLS 1.2 tem sido o padrão seguro recomendado por mais de uma década e estamos chegando ao ponto de não haver mais ninguém realmente oferecendo suporte para qualquer coisa inferior a TLS1.2. É hora de o suporte HTTPS fraco morrer de uma vez por todas. Se você ainda está usando TLS 1.1 após março de 2020, terá dificuldades para se conectar à maioria dos serviços. SparkPost deu um prazo amplo para que isso fosse atualizado e agora estamos enviando avisos finais para que isso seja atualizado antes de setembro, quando vamos descontinuá-lo de vez.
Na verdade, a pergunta deveria ser “por que você ainda está apoiando isso?” TLS 1.2 tem sido o padrão seguro recomendado por mais de uma década e estamos chegando ao ponto de não haver mais ninguém realmente oferecendo suporte para qualquer coisa inferior a TLS1.2. É hora de o suporte HTTPS fraco morrer de uma vez por todas. Se você ainda está usando TLS 1.1 após março de 2020, terá dificuldades para se conectar à maioria dos serviços. SparkPost deu um prazo amplo para que isso fosse atualizado e agora estamos enviando avisos finais para que isso seja atualizado antes de setembro, quando vamos descontinuá-lo de vez.
Na verdade, a pergunta deveria ser “por que você ainda está apoiando isso?” TLS 1.2 tem sido o padrão seguro recomendado por mais de uma década e estamos chegando ao ponto de não haver mais ninguém realmente oferecendo suporte para qualquer coisa inferior a TLS1.2. É hora de o suporte HTTPS fraco morrer de uma vez por todas. Se você ainda está usando TLS 1.1 após março de 2020, terá dificuldades para se conectar à maioria dos serviços. SparkPost deu um prazo amplo para que isso fosse atualizado e agora estamos enviando avisos finais para que isso seja atualizado antes de setembro, quando vamos descontinuá-lo de vez.
Mas como, diga-me, você pode consertá-lo?
É muito possível que o seu SysAdmin de TI ou WebAdmin já tenha feito isso por você como parte de sua manutenção normal. Se sim, você deve comprar uma cerveja para eles e agradecer. Caso contrário, você pode seguir alguns dos passos abaixo para fazer isso no Linux, Windows e Mac.
Observe que ao longo deste documento, testaremos com o ponto final US SparkPost
Se você normalmente usa a implantação europeia, deve usar o ponto final da UE em vez disso.
É muito possível que o seu SysAdmin de TI ou WebAdmin já tenha feito isso por você como parte de sua manutenção normal. Se sim, você deve comprar uma cerveja para eles e agradecer. Caso contrário, você pode seguir alguns dos passos abaixo para fazer isso no Linux, Windows e Mac.
Observe que ao longo deste documento, testaremos com o ponto final US SparkPost
Se você normalmente usa a implantação europeia, deve usar o ponto final da UE em vez disso.
É muito possível que o seu SysAdmin de TI ou WebAdmin já tenha feito isso por você como parte de sua manutenção normal. Se sim, você deve comprar uma cerveja para eles e agradecer. Caso contrário, você pode seguir alguns dos passos abaixo para fazer isso no Linux, Windows e Mac.
Observe que ao longo deste documento, testaremos com o ponto final US SparkPost
Se você normalmente usa a implantação europeia, deve usar o ponto final da UE em vez disso.
Como você pode verificar? (versão Linux)
Primeiro, vamos verificar se o seu amigável administrador de sistema já cuidou disso para você. Na verdade, isso faz parte da configuração do SSL, então pode ser gerenciado na configuração do seu sistema. Supondo que você esteja usando Linux, o método mais descritivo é usar nmap, mas você também pode usar openssl. Você pode usar nmap com Linux, Windows e Mac, mas exploraremos outros métodos para Windows e Macs também se você não quiser instalar novo software.
Para fazer isso com o nmap, teste os cifras contra um host HTTPS conhecido. Já que o objetivo é garantir que estamos conectando ao SparkPost de forma segura, vamos testar contra aquele endpoint. Certifique-se de rodar os seguintes testes nos servidores que realmente conectam ao SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Isso foi feito no meu próprio servidor de desenvolvimento e você pode ver facilmente que minha configuração suporta TLS 1.1 e 1.2, mas não 1.3. É importante notar neste ponto que os ALBs da AWS, e portanto as conexões com o SparkPost, ainda não suportam TLS1.3, mas está no roteiro da AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
Neste ponto, você pode realmente parar se quiser, porque o objetivo é garantir que você consiga se conectar ao SparkPost usando TLS 1.2. Se sua conexão suporta TLS 1.2, isso é o que precisamos neste ponto, então estamos todos bem aqui. Vá comprar uma cerveja para aquele administrador de sistema e diga obrigado.
Envie-nos um email e nos avise que você foi bem-sucedido.
Primeiro, vamos verificar se o seu amigável administrador de sistema já cuidou disso para você. Na verdade, isso faz parte da configuração do SSL, então pode ser gerenciado na configuração do seu sistema. Supondo que você esteja usando Linux, o método mais descritivo é usar nmap, mas você também pode usar openssl. Você pode usar nmap com Linux, Windows e Mac, mas exploraremos outros métodos para Windows e Macs também se você não quiser instalar novo software.
Para fazer isso com o nmap, teste os cifras contra um host HTTPS conhecido. Já que o objetivo é garantir que estamos conectando ao SparkPost de forma segura, vamos testar contra aquele endpoint. Certifique-se de rodar os seguintes testes nos servidores que realmente conectam ao SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Isso foi feito no meu próprio servidor de desenvolvimento e você pode ver facilmente que minha configuração suporta TLS 1.1 e 1.2, mas não 1.3. É importante notar neste ponto que os ALBs da AWS, e portanto as conexões com o SparkPost, ainda não suportam TLS1.3, mas está no roteiro da AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
Neste ponto, você pode realmente parar se quiser, porque o objetivo é garantir que você consiga se conectar ao SparkPost usando TLS 1.2. Se sua conexão suporta TLS 1.2, isso é o que precisamos neste ponto, então estamos todos bem aqui. Vá comprar uma cerveja para aquele administrador de sistema e diga obrigado.
Envie-nos um email e nos avise que você foi bem-sucedido.
Primeiro, vamos verificar se o seu amigável administrador de sistema já cuidou disso para você. Na verdade, isso faz parte da configuração do SSL, então pode ser gerenciado na configuração do seu sistema. Supondo que você esteja usando Linux, o método mais descritivo é usar nmap, mas você também pode usar openssl. Você pode usar nmap com Linux, Windows e Mac, mas exploraremos outros métodos para Windows e Macs também se você não quiser instalar novo software.
Para fazer isso com o nmap, teste os cifras contra um host HTTPS conhecido. Já que o objetivo é garantir que estamos conectando ao SparkPost de forma segura, vamos testar contra aquele endpoint. Certifique-se de rodar os seguintes testes nos servidores que realmente conectam ao SparkPost.
nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com
Isso foi feito no meu próprio servidor de desenvolvimento e você pode ver facilmente que minha configuração suporta TLS 1.1 e 1.2, mas não 1.3. É importante notar neste ponto que os ALBs da AWS, e portanto as conexões com o SparkPost, ainda não suportam TLS1.3, mas está no roteiro da AWS.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-06 22:41 UTC Nmap scan report for api.sparkpost.com (52.13.246.255) Host is up (0.00059s latency). Other addresses for api.sparkpost.com (not scanned): 34.211.102.211 52.43.22.201 54.213.185.174 100.20.154.199 52.43.110.79 52.40.215.39 52.40.175.169 rDNS record for 52.13.246.255: ec2-52-13-246-255.us-west-2.compute.amazonaws.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds
Neste ponto, você pode realmente parar se quiser, porque o objetivo é garantir que você consiga se conectar ao SparkPost usando TLS 1.2. Se sua conexão suporta TLS 1.2, isso é o que precisamos neste ponto, então estamos todos bem aqui. Vá comprar uma cerveja para aquele administrador de sistema e diga obrigado.
Envie-nos um email e nos avise que você foi bem-sucedido.
Verificando suporte no seu Mac
A razão mais comum pela qual você pode precisar verificar o suporte no seu Mac é que você o usa para desenvolvimento local, então vamos assumir isso e verificar seu suporte.
O método menos invasivo é usar curl, que deve estar embutido em todo Mac. Inicie o aplicativo Terminal e use a opção de protocolo para testar especificamente para TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Se você quiser testar usando a conexão SMTP, você também pode fazer isso com este comando:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Retorna uma grande quantidade de dados incluindo:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
A razão mais comum pela qual você pode precisar verificar o suporte no seu Mac é que você o usa para desenvolvimento local, então vamos assumir isso e verificar seu suporte.
O método menos invasivo é usar curl, que deve estar embutido em todo Mac. Inicie o aplicativo Terminal e use a opção de protocolo para testar especificamente para TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Se você quiser testar usando a conexão SMTP, você também pode fazer isso com este comando:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Retorna uma grande quantidade de dados incluindo:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
A razão mais comum pela qual você pode precisar verificar o suporte no seu Mac é que você o usa para desenvolvimento local, então vamos assumir isso e verificar seu suporte.
O método menos invasivo é usar curl, que deve estar embutido em todo Mac. Inicie o aplicativo Terminal e use a opção de protocolo para testar especificamente para TLS1.2.
curl https://api.sparkpost.com/ --tlsv1.2 --verbose * Trying 54.213.185.174... * TCP_NODELAY set * Connected to api.sparkpost.com (54.213.185.174) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem CApath: none * TLSv1.2 (OUT), TLS handshake, Client hello (1) * TLSv1.2 (IN), TLS handshake, Server hello (2) * TLSv1.2 (IN), TLS handshake, Certificate (11) * TLSv1.2 (IN), TLS handshake, Server key exchange (12) * TLSv1.2 (IN), TLS handshake, Server finished (14) * TLSv1.2 (OUT), TLS handshake, Client key exchange (16) * TLSv1.2 (OUT), TLS change cipher, Client hello (1) * TLSv1.2 (OUT), TLS handshake, Finished (20) * TLSv1.2 (IN), TLS change cipher, Client hello (1) * TLSv1.2 (IN), TLS handshake, Finished (20) * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256 * ALPN, server accepted to use h2 * Server certificate: * subject: CN=*.sparkpost.com * start date: Jan 30 00:00:00 2020 GMT * expire date: Feb 28 12:00:00 2021 GMT * subjectAltName: host "api.sparkpost.com" matched cert's "*.sparkpost.com" * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. * Using HTTP2, server supports multi-use * Connection state changed (HTTP/2 confirmed) * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0 * Using Stream ID: 1 (easy handle 0x7fbd69805200) > GET / HTTP/2 > Host: api.sparkpost.com > User-Agent: curl/7.54.0 > Accept: / * Connection state changed (MAX_CONCURRENT_STREAMS updated)! < HTTP/2 200 < date: Thu, 07 May 2020 15:14:30 GMT < content-type: text/plain < content-length: 95 < server: msys-http Oh hey! You should come work with us and build awesome stuff
Se você quiser testar usando a conexão SMTP, você também pode fazer isso com este comando:
openssl s_client -crlf -starttls smtp -tls1_2 -connect smtp.sparkpostmail.com:587
Retorna uma grande quantidade de dados incluindo:
SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
Dando um passo adiante
Por que parar no TLS 1.2 quando você sabe – você simplesmente sabe – que todos nós teremos que atualizar para o TLS 1.3 no próximo ano ou mais. Por que não apenas atualizar para o TLSv1.3 enquanto estamos nisso?
Infelizmente, os ALBs da AWS ainda não suportam TLS1.3, então se você atualizar sua configuração, sua conexão com o SparkPost e qualquer outro serviço da AWS que use a camada ALB ainda estará limitada ao TLS1.2. Pessoalmente, ainda acho que é uma boa ideia se antecipar e atualizar para 1.3 enquanto você faz alterações de qualquer maneira.
Se você quiser adicionar suporte ao TLS 1.3, provavelmente terá que atualizar sua biblioteca OpenSSL primeiro para a V1.1.1 ou posterior e, em seguida, adicionar +TLSv1.3 à linha de protocolo mencionada acima. Instruções semelhantes podem ser encontradas aqui para Nginx e Cloudflare também.
Por que parar no TLS 1.2 quando você sabe – você simplesmente sabe – que todos nós teremos que atualizar para o TLS 1.3 no próximo ano ou mais. Por que não apenas atualizar para o TLSv1.3 enquanto estamos nisso?
Infelizmente, os ALBs da AWS ainda não suportam TLS1.3, então se você atualizar sua configuração, sua conexão com o SparkPost e qualquer outro serviço da AWS que use a camada ALB ainda estará limitada ao TLS1.2. Pessoalmente, ainda acho que é uma boa ideia se antecipar e atualizar para 1.3 enquanto você faz alterações de qualquer maneira.
Se você quiser adicionar suporte ao TLS 1.3, provavelmente terá que atualizar sua biblioteca OpenSSL primeiro para a V1.1.1 ou posterior e, em seguida, adicionar +TLSv1.3 à linha de protocolo mencionada acima. Instruções semelhantes podem ser encontradas aqui para Nginx e Cloudflare também.
Por que parar no TLS 1.2 quando você sabe – você simplesmente sabe – que todos nós teremos que atualizar para o TLS 1.3 no próximo ano ou mais. Por que não apenas atualizar para o TLSv1.3 enquanto estamos nisso?
Infelizmente, os ALBs da AWS ainda não suportam TLS1.3, então se você atualizar sua configuração, sua conexão com o SparkPost e qualquer outro serviço da AWS que use a camada ALB ainda estará limitada ao TLS1.2. Pessoalmente, ainda acho que é uma boa ideia se antecipar e atualizar para 1.3 enquanto você faz alterações de qualquer maneira.
Se você quiser adicionar suporte ao TLS 1.3, provavelmente terá que atualizar sua biblioteca OpenSSL primeiro para a V1.1.1 ou posterior e, em seguida, adicionar +TLSv1.3 à linha de protocolo mencionada acima. Instruções semelhantes podem ser encontradas aqui para Nginx e Cloudflare também.
Fique seguro lá fora
Finalmente, seria ótimo se você pudesse nos enviar um e-mail rápido para nos informar que você verificou que é compatível com TLS 1.2. Nós realmente não queremos cortar ninguém e a data limite é setembro de 2020. Se soubermos que você está na zona segura, nos sentiremos muito melhor em desativar o suporte antigo.
Finalmente, seria ótimo se você pudesse nos enviar um e-mail rápido para nos informar que você verificou que é compatível com TLS 1.2. Nós realmente não queremos cortar ninguém e a data limite é setembro de 2020. Se soubermos que você está na zona segura, nos sentiremos muito melhor em desativar o suporte antigo.
Finalmente, seria ótimo se você pudesse nos enviar um e-mail rápido para nos informar que você verificou que é compatível com TLS 1.2. Nós realmente não queremos cortar ninguém e a data limite é setembro de 2020. Se soubermos que você está na zona segura, nos sentiremos muito melhor em desativar o suporte antigo.
