Atualização de segurança nas ligações por HTTPS
FAQ dedicadas à atualização dos protocolos TLS e das cifras utilizadas
Preciso de ajuda com
Âmbito e Datas
O que vai acontecer?
A partir do dia 08 de outubro 2024, em ambiente produtivo, e 08 de maio 2024, em ambiente de qualidade, todas as nossas comunicações disponibilizadas por HTTPS (APIs, web services, AS2, AS4, portais web) permitirão apenas conexões por TLS 1.2 ou 1.3 e apenas com uma das seguintes Cipher Suites:
TLS Version OpenSSL cipher Names IANA cipher names TLS 1.2 ECDHE-ECDSA-AES256-GCM-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS 1.2 ECDHE-ECDSA-AES128-GCM-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS 1.2 ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS 1.2 ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS 1.2 ECDHE-ECDSA-CHACHA20-POLY1205 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 TLS 1.2 ECDHE-RSA-CHACHA20-POLY1205 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 TLS 1.3 TLS-AES-256-GCM-SHA384 TLS_AES_256_GCM_SHA384 TLS 1.3 TLS-CHACHA20-POLY1305-SHA256 TLS_CHACHA20_POLY1305_SHA256 TLS 1.3 TLS-AES-128-GCM-SHA256 TLS_AES_128_GCM_SHA256 Isto significa que, para poder comunicar com os nossos serviços via HTTPS, terá de suportar uma destas versões do TLS e uma destas cifras.
As comunicações que não usem HTTPS não serão afetadas por esta alteração.
Quando é que vai acontecer?
Esta atualização terá duas datas, consoante o ambiente:
– 08/05/2024 – Ambiente de Qualidade
– 08/10/2024 – Ambiente de Produção
O que devo fazer?
Deverá assegurar a compatibilidade da sua implementação com estes novos requisitos de segurança. Para tal recomendamos que próximos passos sejam:
– Contactar o vosso departamento de IT ou parceiro tecnológico, a dar conta desta atualização, para que possam iniciar este processo.
– Verificação de como os vossos sistemas acedem às nossas aplicações, nomeadamente qual a versão do protocolo utilizada na comunicação.
– Atualização da versão do protocolo caso seja necessário.
O que acontece se não atualizar?
Se não garantir que suporta uma destas versões do TLS e uma das Ciphers Suites indicadas, deixará de conseguir ligar-se aos nossos serviços (portais web, APIs, canais AS2 e AS4). Neste caso deixará de poder enviar e receber documentos.
É fundamental que garanta o suporte destes protocolos.
Que aplicações SOVOS Saphety serão afetadas?
As aplicações e serviços afetados por esta atualização serão os seguintes:
– Portal Saphety Invoice Network
– Portal EDI (SaphetyDOC)
– Saphety DOC+
– TicketBai
Porquê mudar para versões TLS mais recentes?
Devido a várias vulnerabilidades detetadas a Internet Engineering Task Force (IETF) anunciou explicitamente que o TLS 1.0 e o TLS 1.1 não devem ser usados e ambos foram descontinuados.
Assim, por razões de segurança, é obrigatório atualizar para a versão 1.2 ou 1.3 do TLS, de forma a obter um conjunto de criptografia mais alto e uma comunicação mais segura.
Protocolo TLS
O que é o Transport Layer Security (TLS)?
O TLS é o protocolo criptográfico que fornece segurança de comunicação para todos os sites atuais, criado para permitir confidencialidade e segurança de dados nas comunicações pela internet.
Foi proposto pela Internet Engineering Task Force (IETF), uma organização internacional de normas, e a primeira versão foi publicada em 1999. A mais recente é a versão TLS 1.3, publicada em 2018.
O protocolo TLS tem três funções principais: Criptografia, Autenticação e Integridade.
– Encriptação: usando algoritmos criptográficos cifra os dados em transito de forma que terceiros não possam ter acesso.
– Integridade: assegura que os dados não foram adulterados.
– Autenticação: garante autenticidade das partes que estão a comunicar.
Qual é a diferença entre TLS e HTTPS?
Requisitos de segurança
Quais são os novos requisitos de segurança?
Com esta atualização todas as nossas comunicações disponibilizadas por HTTPS (APIs, web services, AS2, AS4, portais web) permitirão apenas conexões por TLS 1.2 ou 1.3 e apenas com uma das seguintes Cipher Suites:
TLS Version OpenSSL cipher Names IANA cipher names TLS 1.2 ECDHE-ECDSA-AES256-GCM-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS 1.2 ECDHE-ECDSA-AES128-GCM-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS 1.2 ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS 1.2 ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS 1.2 ECDHE-ECDSA-CHACHA20-POLY1205 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 TLS 1.2 ECDHE-RSA-CHACHA20-POLY1205 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 TLS 1.3 TLS-AES-256-GCM-SHA384 TLS_AES_256_GCM_SHA384 TLS 1.3 TLS-CHACHA20-POLY1305-SHA256 TLS_CHACHA20_POLY1305_SHA256 TLS 1.3 TLS-AES-128-GCM-SHA256 TLS_AES_128_GCM_SHA256 Isto significa que, para poder comunicar com os nossos serviços via HTTPS, terá de suportar uma destas versões do TLS e uma destas cifras.
As comunicações que não usem HTTPS (por exemplo SFTP, ou HTTP simples) não serão afetadas por esta alteração.
Compatibilidade
Como posso saber se suporto estes novos requisitos de segurança?
Para garantir que tem uma forma de testar o suporte destas configurações de segurança, e assegurar que o seu serviço não é interrompido, disponibilizamos endpoints temporários já com as mesmas configurações, versões e cifras que aplicaremos aos endpoints reais.
Isto permite realizar, desde já, testes e garantir a compatibilidade com as novas configurações antes da completa implementação destas novas políticas.
Veja o documento que descreve alguns processos e ferramentas que poderão seguir para analisar as ligações e verificar o suporte destas novas definições de segurança ao nível de rede e sistema operativo.
Encontre o endpoint que usa atualmente aqui, e veja qual o endpoint temporário correspondente, para poderá usar para verificar as comunicações, já com os novos requisitos de segurança.
Garantindo a comunicação por via destes endpoints temporários estará a assegurar que não terá problemas nas datas em que aplicarmos as novas configurações de segurança.
Poderá, se assim etender, usar estes endpoints temporários para submeter documentos e verificar se todo o processo funciona. Ter em atenção que deverá reverter para o endpoint real, assim que tiver garantida a comunicação.
NOTAS IMPORTANTES:
– Os endpoints temporários vão processar todos os documentos por aqui enviados, da mesma forma que os endpoints que já utiliza. Recomendamos por isso que, para o ambiente de produção, submeta documentos que realmente queira processar ou então documentos com formatos ou dados inválidos, para dar erro nas validações, mas permita ainda assim testar o canal de comunicação.
– Depois dos testes, e uma vez assegurada a comunicação, deverá voltar a usar os endpoints reais dos serviços, pois estes endpoints são temporários e apenas para poder testar. Serão descontinuados após a transição para as novas configurações de segurança.
Consulte aqui os endpoints temporários dos ambiente de qualidade e produção para efetuar os testes necessários.
Como verificar a compatibilidade do seu navegador?
Via navegador pode usar várias ferramentas online que verificam a compatibilidade do seu navegador com as diferentes versões do protocolo TLS e cifras suportadas (por exemplo: https://browserleaks.com/tls or https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html )