Dismissione TLS 1.0 e 1.1 e impatti sulle integrazioni
- Alessandra Sessa (Deactivated)
- tutti_support (Unlicensed)
A partire dal 01/01/2022 disabiliteremo l’uso di TLS 1.0 e TLS 1.1 per le connessioni dirette verso i domini della piattaforma, consentendo l’accesso solo con i protocolli di versione TLS 1.2 o superiore.
Per non avere discontinuità di funzionamento, occorre assicurarsi che entro tale data le applicazioni che si integrano con la piattaforma siano aggiornate per supportare TLS 1.2 o superiore.
Perché?
Le versioni 1.0 e 1.1 del protocollo crittografico TLS sono state dichiarate obsolete e deprecate dalla Internet Engineering Task Force (RFC 8996) che, a fronte di vulnerabilità di cybersecurity note, ne raccomanda l’abbandono a favore della versione 1.2 o superiore.
Al fine di massimizzare il livello di protezione, anche la piattaforma si adegua a quanto hanno fatto tutti i maggiori produttori di software nel 2020 e procede con l’inibizione all’uso di protocolli obsoleti per la negoziazione della crittografia.
Chi è impattato da questa modifica?
Nessun impatto per chi accede alla piattaforma attraverso la pagina di login su un qualsiasi web browser. In questo caso l’accesso tramite TLS < 1.2 non è più possibile da mesi.
L’impatto della disabilitazione riguarda eventuali applicazioni software (di seguito “client”) configurate o sviluppate dai clienti a scopo di integrazione con la piattaforma e che usano TLS 1.0 o TLS 1.1. Rientrano tra queste applicazioni quelle che corrispondono ad entrambe queste condizioni:
- chiamano pagine pubbliche (es. form di iscrizione in HTTP GET/POST) e contraddistinte dall’URL <host account>/frontend/<NomePagina.aspx> oppure le API (REST oppure SOAP*)
- utilizzano tecnologie non recenti che non hanno il supporto nativo per TLS 1.2 o superiore, come ad esempio le versioni del framework .Net inferiori alla 4.7 o JDK inferiori alla versione 8
Ecco alcuni riferimenti utili per verificare ed eventualmente correggere la compatibilità dei vari software
https://luxsci.com/blog/tls-nist-cipher-email-web-browser-compatibility.html
https://docs.microsoft.com/it-it/dotnet/framework/network-programming/tls#support-for-tls-12
https://blogs.oracle.com/java-platform-group/jdk-8-will-use-tls-12-as-default
https://tecadmin.net/test-tls-version-php/
https://www.php.net/manual/en/migration56.openssl.php
https://pyfound.blogspot.com/2017/01/time-to-upgrade-your-python-tls-v12.html
https://medium.com/@jawadahmadd/enable-only-tls-1-2-in-node-js-118687fb3746
*solo per le chiamate a http://<MAILUP_CONSOLE_URL>/Services/WSMailupImport.asmx, per le chiamate SOAP ai domini wsvc.ss.mailup.it e services.mailupnet.it la deadline è posticipata.
Devo riconfigurare i miei client?
Non sono richiesti interventi sui client che stanno già utilizzando TLS 1.2 o superiore. In caso contrario occorre aggiornarli entro le tempistiche indicate.
Come posso verificare se il mio client è compatibile?
In caso di applicazioni integrate tramite REST API è possibile fare un test sostituendo il dominio services.mailup.com con:
REST API: test-services.mailup.com
SOAP API: test-wscv.ss.mailup.it
L’accesso da browser non è impattato, può comunque essere verificato tramite questa pagina.
Per tutti gli altri casi è necessaria una verifica nel codice o nella configurazione dell’applicazione connessa alla piattaforma.
Potete fare una verifica sui miei client?
No, MailUp non è in grado di verificare i singoli client dei suoi clienti. Per verificare i propri client fai riferimento a quanto detto sopra.
Potete rinviare questa operazione per darmi tempo di aggiornare i miei sistemi?
No. L’operazione di dismissione dei protocolli TLS obsoleti viene eseguita a livello di infrastruttura, non è quindi possibile effettuarla selettivamente per singoli utenti o domini.