Published — v. 7

Dismissione TLS 1.0 e 1.1 e impatti sulle integrazioni

A partire dal 01/01/2022 disabiliteremo l’uso di TLS 1.0 e TLS 1.1 per le connessioni dirette verso i domini della piattaforma, consentendo l’accesso solo con i protocolli di versione TLS 1.2 o superiore. 

Per non avere discontinuità di funzionamento, occorre assicurarsi che entro tale data le applicazioni che si integrano con la piattaforma siano aggiornate per supportare TLS 1.2 o superiore.


Perché?

Le versioni 1.0 e 1.1 del protocollo crittografico TLS sono state dichiarate obsolete e deprecate dalla Internet Engineering Task Force (RFC 8996) che, a fronte di vulnerabilità di cybersecurity note, ne raccomanda l’abbandono a favore della versione 1.2 o superiore.

Al fine di massimizzare il livello di protezione, anche la piattaforma si adegua a quanto hanno fatto tutti i maggiori produttori di software nel 2020 e procede con l’inibizione all’uso di protocolli obsoleti per la negoziazione della crittografia.


Chi è impattato da questa modifica?

Nessun impatto per chi accede alla piattaforma attraverso la pagina di login su un qualsiasi web browser. In questo caso l’accesso tramite TLS < 1.2 non è più possibile da mesi.

L’impatto della disabilitazione riguarda eventuali applicazioni software (di seguito “client”) configurate o sviluppate dai clienti a scopo di integrazione con la piattaforma e che usano TLS 1.0 o TLS 1.1. Rientrano tra queste applicazioni quelle che corrispondono ad entrambe queste condizioni: 

  • chiamano pagine pubbliche (es. form di iscrizione in HTTP GET/POST) e contraddistinte dall’URL <host account>/frontend/<NomePagina.aspx> oppure le API (REST oppure SOAP*)
  • utilizzano tecnologie non recenti che non hanno il supporto nativo per TLS 1.2 o superiore, come ad esempio le versioni del framework .Net inferiori alla 4.7 o JDK inferiori alla versione 8


Ecco alcuni riferimenti utili per verificare ed eventualmente correggere la compatibilità dei vari software

https://luxsci.com/blog/tls-nist-cipher-email-web-browser-compatibility.html 

https://docs.microsoft.com/it-it/dotnet/framework/network-programming/tls#support-for-tls-12

https://blogs.oracle.com/java-platform-group/jdk-8-will-use-tls-12-as-default 

https://tecadmin.net/test-tls-version-php/ 

https://www.php.net/manual/en/migration56.openssl.php 

https://pyfound.blogspot.com/2017/01/time-to-upgrade-your-python-tls-v12.html 

https://medium.com/@jawadahmadd/enable-only-tls-1-2-in-node-js-118687fb3746 


*solo per le chiamate a http://<MAILUP_CONSOLE_URL>/Services/WSMailupImport.asmx,  per le chiamate SOAP ai domini wsvc.ss.mailup.it e services.mailupnet.it la deadline è posticipata.



Devo riconfigurare i miei client?

Non sono richiesti interventi sui client che stanno già utilizzando TLS 1.2 o superiore. In caso contrario occorre aggiornarli entro le tempistiche indicate. 


Come posso verificare se il mio client è compatibile?

In caso di applicazioni integrate tramite REST API è possibile fare un test sostituendo il dominio services.mailup.com con:

L’accesso da browser non è impattato, può comunque essere verificato tramite questa pagina.

Per tutti gli altri casi è necessaria una verifica nel codice o nella configurazione dell’applicazione connessa alla piattaforma.


Potete fare una verifica sui miei client? 

No, MailUp non è in grado di verificare i singoli client dei suoi clienti. Per verificare i propri client fai riferimento a quanto detto sopra. 


Potete rinviare questa operazione per darmi tempo di aggiornare i miei sistemi? 

No. L’operazione di dismissione dei protocolli TLS obsoleti viene eseguita a livello di infrastruttura, non è quindi possibile effettuarla selettivamente per singoli utenti o domini.