Afin de s'aligner avec les meilleurs pratiques en sécurité, le support pour les protocoles TLS 1.0 et 1.1 sera retiré de la plateforme Dialog Insight, en plus de certains Ciper Suites jugés trop faibles. Parce que la majorité des logiciels et systèmes d'exploitation publiés dans les 10 dernières années sont compatibles avec TLS 1.2 (incluant tous les navigateurs Web présentement supportés par leur fabricants), ce changement n'aura aucun impact sur la majorité de nos clients.

Il existe cependant un risque d'incompatibilité pour des anciens logiciels, par exemple de vieilles intégrations à nos API qui roulent avec des versions de logiciels ou systèmes d'exploitation non-supportées.

Qu'est-ce qui change, et pourquoi?

Le protocole "Transport Layer Security" (TLS) est le successeur des anciens protocoles SSL. C'est le protocole de cryptographie qui sécurise la communication lorsque votre navigateur ou application se connecte à la plateforme Dialog Insight. Plusieurs versions de TLS ont été publiées au fil des années à mesure que des failles de sécurité sont découvertes dans les versions existantes. Tout comme les protocoles SSL versions 1.0, 2.0 et 3.1, les version 1.0 et 1.1 de TLS sont maintenant considérées insécure ne devraient plus être utilisées. Nous avons préservé la compatibilité avec ces anciennes versions plus longtemps que la plupart des sites, et le moment est venu de retirer ces versions afin de renforcer la sécurité.

Comment savoir si vous êtes affectés

Si vous n'utilisez que des navigateurs modernes pour vous connecter à la plateforme et n'utilisez pas d'intégration à nos API, vous ne serez pas affectés.

Si vous utilisez nos services Web, votre équipe devrait confirmer que vos systèmes et logiciels sont à jour et compatibles avec TLS 1.2. Vous pourriez être affectés si vos applications ne reçoivent pas de mises à jour régulière, utilisent d'anciennes librairies ou roulent sur de vieux systèmes d'exploitation. Quelques exemples:

Mise à jour requise

  • Windows Server 2008 R2 ou plus ancien
  • .Net 3.5 ou moins
  • OpenSSL 1.0.0 ou moins
  • Java 6

Changement de configurations peuvent être requis

  • Windows Server 2012
  • .Net 4.0 et 4.5
  • Java 7

D'un point de vue un peu plus technique, notre nouvelle configuration supportera les versions TLS et Ciper Suites suivants:

TLS 1.3

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Tester votre compatibilité avec TLS 1.2

Nous avons ajouté des URLs temporaires * que vous pouvez utiliser pour connecter à votre compte, et qui utilisent la nouvelle configuration TLS que nous déploieront le 19 octobre:

Vous pouvez tester que vos applications sont compatibles avec notre nouvelle configuration en lançant des appels tests de votre application avec les mêmes URLs qu'avant, mais en remplaçant le domaine dans le lien. Par exemple, pour un appel au service Contact.Merge qui utilise cet URL:

https://app.dialoginsight.com/webservices/ofc4/contacts.ashx?method=Merge

Vous pouvez le tester en substituant le domaine de la plateforme par le domaine test: 

https://tlstest.dialoginsight.dev/webservices/ofc4/contacts.ashx?method=Merge

Si l'appel fonctionne normalement, alors votre application est prête pour le changement. 

* tel que spécifié, il s'agit de domaines temporaires pour fins de tests. Utilisez-les pour tester vos environnements mais assurez-vous de ne pas transférer de charge de production sur ces domaines puisqu'ils ne seront disponibles que pour quelques semaines et d'ici là, leur disponibilité et configuration est sujette à changements préavis. 

Quoi faire si vous êtes affectés

Vous devez mettre vos logiciels ou systèmes à niveau vers des version compatibles d'ici le 19 octobre.

Si vous ne pouvez pas le faire d'ici cette date, vous pouvez aussi considérer l'option d'implémenter un serveur Proxy sortant. Un serveur proxy sortant est une application qui agit comme intermédiaire entre vos applications et les serveurs auxquels ces applications doivent se connecter, et qui peut gérer l'aspect TLS 1.2 de la connexion au lieu de votre application. L'implémentation spécifique d'un tel proxy dépend fortement de votre configuration et environnement réseau donc Dialog Insight ne peut ni faire de recommandation ni assister dans ce processus, mais votre équipe technique pourrait considérer que cette option est appropriée.