Atualizando para TLS 1.2
Engenharia
·
Principais Conclusões
TLS 1.1 está oficialmente obsoleto. Bird (antigamente SparkPost) não suporta mais conexões usando TLS 1.1 após setembro de 2020. Todos os sistemas devem suportar TLS 1.2 ou superior para manter a conectividade segura.
Por que a atualização é importante: TLS 1.2 tem sido o protocolo recomendado há mais de uma década. Ele oferece criptografia mais forte, melhor desempenho e conformidade com padrões de segurança modernos, enquanto versões mais antigas são vulneráveis a ataques.
Como verificar seu sistema:
Linux: Use nmap --script ssl-enum-ciphers -p 443 api.sparkpost.com ou openssl para verificar o suporte ao protocolo.
macOS: Execute curl https://api.sparkpost.com/ --tlsv1.2 --verbose no Terminal.
Windows: Vá para Opções da Internet → Avançado e certifique-se de que “Usar TLS 1.2” esteja marcado.
Como habilitar o TLS 1.2:
No Apache, atualize a configuração SSL: SSLProtocol -all +TLSv1.2
No Nginx, modifique ssl_protocols TLSv1.2; e reinicie seu serviço.
Por que não o TLS 1.3 (ainda)? Embora o TLS 1.3 seja o próximo passo, os Balancers de Carga de Aplicação da AWS (usados pelo SparkPost/Bird) ainda não o suportavam na época. Mesmo assim, atualizar o OpenSSL para v1.1.1+ prepara você para uma fácil transição futura.
Reconhecimento consciente de segurança. A Bird incentivou os primeiros adotantes a compartilhar seu sucesso na atualização e a se juntar à sua “parede da beleza” — celebrando a conformidade proativa com a segurança.
Destaques de Perguntas e Respostas
Por que o TLS 1.2 é necessário?
Porque versões anteriores (1.0 e 1.1) são inseguras e foram descontinuadas pela IETF. O TLS 1.2 oferece criptografia mais forte e proteção de integridade para conexões de API e SMTP.
Quem isso afeta?
Qualquer cliente que se conectar ao Bird (via REST API, SMTP, webhooks ou pontos finais de métricas) usando uma versão desatualizada do TLS.
Como posso testar minha conexão?
Execute um dos comandos de verificação para o seu sistema operacional (Linux, macOS ou Windows). Se a saída mostrar um handshake TLSv1.2 bem-sucedido, sua conexão está em conformidade.
O que acontece se eu não atualizar?
Suas conexões falharão assim que o TLS 1.1 for desativado. Você perderá a capacidade de enviar mensagens ou acessar APIs até que seu sistema suporte TLS 1.2.
Posso habilitar o TLS 1.3 agora?
Você pode, mas pode não ser suportado pelos ALBs da AWS ainda. Atualizar o OpenSSL para a versão 1.1.1+ garante compatibilidade quando o TLS 1.3 estiver disponível.
Preciso mudar alguma coisa se estiver usando o Bird através de uma biblioteca ou SDK?
A maioria dos SDKs modernos já utiliza TLS 1.2 como padrão. No entanto, verifique a configuração SSL do seu ambiente ou a versão da biblioteca se for anterior a meados de 2018.
Há uma maneira de confirmar o sucesso?
Sim — após testar sua conexão, a Bird convidou os usuários a enviar um e-mail de confirmação para sua equipe de suporte, verificando a prontidão antes da data limite.
Você está usando TLS mais antigo que 1.2? Tudo bem, atrasos em atualizações de manutenção acontecem com todos. Nós entendemos. No entanto, é hora de seguir em frente.
Lembre-se, lá em junho de 2018, quando descontinuamos o uso do TLS 1.0? Se você não se lembra, tudo bem, você pode ler tudo sobre isso em este post. Bem, aqui estamos, 2 anos depois e a próxima versão está prestes a ser deixada de lado, então queremos que você esteja preparado e evite qualquer interrupção no serviço. Este post é todo sobre como prepará-lo para operar sem o uso do TLS 1.1, para que possamos restringir o acesso apenas ao TLS 1.2. Vamos orientá-lo sobre como verificar sua versão atual e como atualizar para a mais recente. Só por diversão, realmente gostaríamos de ouvir seu feedback e adicioná-lo a um “mural de excelência” apresentando todas aquelas empresas preocupadas com a segurança que fazem a mudança cedo.
Verificando suporte no Windows
Semelhante ao caso de uso do Mac, a razão mais comum pela qual você pode precisar verificar o suporte em seu Windows é que você o utiliza para desenvolvimento local, então vamos assumir isso e verificar seu suporte.
Windows 7 e Windows 10 usam basicamente o mesmo processo. Se você estiver usando algo anterior, por favor, faça a atualização, pois versões anteriores não suportam TLS 1.2.
Comece clicando em INICIAR no canto inferior esquerdo (geralmente).
Digite “Opções da Internet” e selecione a correspondência da lista resultante.
Clique na guia Avançado e, a partir daí, role até o final. Se TLS 1.2 estiver marcado, você já está pronto. Se não estiver, por favor, marque a caixa ao lado de Usar TLS 1.2 e depois clique em Aplicar.
Isso me afeta?
De volta em 2018, pedimos aos nossos clientes que atualizassem, e o TLS 1.2 tem sido a recomendação por um bom tempo, então é muito provável que você NÃO seja afetado. No entanto, se você usar qualquer método para injetar mensagens (SMTP ou API REST) ou coletar dados (métricas ou webhooks, etc.), então você realmente deve verificar agora para ter certeza de que seu sistema pode suportar o TLS 1.2. Certifique-se de executar os seguintes testes nos servidores que realmente se conectam ao SparkPost.
Por que é importante
Por que agora?
Na verdade, a pergunta deveria ser “por que você ainda está apoiando isso?” TLS 1.2 tem sido o padrão seguro recomendado por mais de uma década e estamos chegando ao ponto de não haver mais ninguém realmente oferecendo suporte para qualquer coisa inferior a TLS1.2. É hora de o suporte HTTPS fraco morrer de uma vez por todas. Se você ainda está usando TLS 1.1 após março de 2020, terá dificuldades para se conectar à maioria dos serviços. SparkPost deu um prazo amplo para que isso fosse atualizado e agora estamos enviando avisos finais para que isso seja atualizado antes de setembro, quando vamos descontinuá-lo de vez.
Mas como, diga-me, você pode consertá-lo?
É muito possível que o seu SysAdmin de TI ou WebAdmin já tenha feito isso por você como parte de sua manutenção normal. Se sim, você deve comprar uma cerveja para eles e agradecer. Caso contrário, você pode seguir alguns dos passos abaixo para fazer isso no Linux, Windows e Mac.
Observe que ao longo deste documento, testaremos com o ponto final US SparkPost
Se você normalmente usa a implantação europeia, deve usar o ponto final da UE em vez disso.
Como você pode verificar? (versão Linux)
Verificando suporte no seu Mac
Dando um passo adiante
Por que parar no TLS 1.2 quando você sabe – você simplesmente sabe – que todos nós teremos que atualizar para o TLS 1.3 no próximo ano ou mais. Por que não apenas atualizar para o TLSv1.3 enquanto estamos nisso?
Infelizmente, os ALBs da AWS ainda não suportam TLS1.3, então se você atualizar sua configuração, sua conexão com o SparkPost e qualquer outro serviço da AWS que use a camada ALB ainda estará limitada ao TLS1.2. Pessoalmente, ainda acho que é uma boa ideia se antecipar e atualizar para 1.3 enquanto você faz alterações de qualquer maneira.
Se você quiser adicionar suporte ao TLS 1.3, provavelmente terá que atualizar sua biblioteca OpenSSL primeiro para a V1.1.1 ou posterior e, em seguida, adicionar +TLSv1.3 à linha de protocolo mencionada acima. Instruções semelhantes podem ser encontradas aqui para Nginx e Cloudflare também.
Fique seguro lá fora
Finalmente, seria ótimo se você pudesse nos enviar um e-mail rápido para nos informar que você verificou que é compatível com TLS 1.2. Nós realmente não queremos cortar ninguém e a data limite é setembro de 2020. Se soubermos que você está na zona segura, nos sentiremos muito melhor em desativar o suporte antigo.
