Atualização: Desativação do TLS v1.0 e v1.1 - Ponto final da API de identidade do cliente da Rackspace

by Marc Nourani Director, Global Service Operations, Rackspace Technology

Em 21 de setembro de 2023, a Rackspace concluiu com êxito a desativação das versões TLS anteriores à 1.2 no ponto de extremidade da API de Identidade do Cliente: identity.api.rackspacecloud.com. 

Fizemos essa alteração como parte de uma estratégia geral para modernizar todos os sistemas da Rackspace para o TLS 1.3. Devido à evolução dos requisitos regulamentares e às vulnerabilidades de segurança nas versões anteriores do TLS, eliminámos gradualmente todas as versões anteriores ao TLS 1.2. Todos os sistemas de ligação têm agora de suportar, no mínimo, a versão 1.2 do TLS para se ligarem ao Rackspace Customer Identity. 

Como sempre, os nossos Rackers de apoio estão disponíveis para o ajudar, caso tenha alguma dificuldade. 

O que é o TLS?

O Transport Layer Security (TLS) é um protocolo de segurança para estabelecer canais de comunicação encriptados através de redes informáticas, protegendo quase todo o tráfego Web. As versões mais antigas deste protocolo (anteriores à 1.2) são vulneráveis a ataques que podem comprometer os dados enviados através da rede. 

A Rackspace recomenda que os clientes removam completamente todo o suporte TLS anterior à versão 1.2 dos seus ambientes e comecem a planear a mudança para o TLS 1.3. No entanto, para efeitos desta atualização, no mínimo, os clientes devem garantir que todos os sistemas ou software que se ligam ao Rackspace Customer Identity suportam, no mínimo, TLS 1.2. 

Que ponto final está envolvido?

Identity.api.rackspacecloud.com (e subdomínios)

Como a tecnologia Rackspace pode ajudar

Embora os nossos engenheiros não estejam em posição de apoiar diretamente as configurações individuais dos clientes, podemos fornecer orientações sobre as melhores práticas gerais da indústria. A atualização TLS 1.2 necessária afectará mais frequentemente os clientes que se ligam à API de forma programática a partir da sua pilha de aplicações de middleware. As alterações necessárias para atualizar para compatibilidade com o TLS 1.2 devem ser efectuadas pelos engenheiros de aplicações do cliente. Como o TLS 1.2 foi padronizado em 2008, muitos sistemas que seguem políticas normais de aplicação de patches provavelmente já estão atualizados e não estão no escopo deste problema. No entanto, incluímos abaixo recursos adicionais para alguns sistemas que podem exigir actualizações para cumprir esta norma actualizada. 

Recursos adicionais

Planos do Microsoft 365

Os engenheiros não prevêem quaisquer problemas para os clientes que utilizem tecnologia mais recente do que 2017 e que estejam actualizados em termos de aplicação de patches. Considerar os seguintes elementos como linhas de base mínimas compatíveis do sistema:

  • .NET Framework: a versão 4.6.2 é a versão base que suporta TLS 1.2 (desde agosto de 2016). Nota: algumas variantes anteriores não parecem ser ativamente suportadas. Por exemplo, e.g., 4.5.1 e 4.5.2 podem suportar TLS 1.2 com KBs (patches) especificados instalados. 
  • O Microsoft SQL Server 2016 e posterior suporta TLS 1.2. Os clientes SQL mais antigos podem necessitar de KBs especiais (que foram provavelmente incluídos nos rollups de correção) para carregar. 
  • O Microsoft Windows Server 2012 e 2012 R2 suportará o TLS 1.2 com KBs especificados que foram lançados em junho de 2017. Se tiver aplicado patches desde essa altura, é provável que a atualização tenha sido incluída em actualizações especificadas ou em rollups de patches. 
  • Microsoft Windows Server 2016, 2019 e 2022: todos suportam TLS 1.2
  • Azure: não deverá ser afetado devido à utilização de tecnologia mais recente. Embora existam potenciais obstáculos no Azure, estes são improváveis e fáceis de corrigir (por exemplo, atualizar o .NET Framework utilizado). Nota: as VMs clientes no Azure também têm de estar actualizadas.   

Linux:

Os anfitriões estarão geralmente actualizados se tiverem aplicado patches recentes, uma vez que todos estarão a utilizar as bibliotecas OpenSSL/GnuTLS de todo o sistema. Caso contrário, geralmente, a solução é "atualizar os pacotes OpenSSL e/ou GnuTLS. Se a versão geral da distribuição não for suficientemente recente para ter pacotes recentes, actualize-a também". Assumindo que a versão do software é suficientemente recente, a solução pode exigir alguma configuração (por exemplo, o suporte para TLS 1.2 está presente, mas desativado). 

Se um pacote interno/terceiro estiver a fazer TLS usando as suas próprias bibliotecas (ou uma instalação personalizada no seu próprio diretório, etc.), a equipa responsável por esse pacote deve ser envolvida para investigar mais. 

A ferramenta de configuração SSL online do Mozilla (https://ssl-config.mozilla.org/) pode ajudar nas definições de configuração. Embora seja mantida pela Mozilla, a ferramenta é amplamente aplicável a muitos pacotes de software, não apenas ao Firefox. 

 

Contacte-nos para assistência ou questões