Support für TLS 1.0 und andere schwache Verschlüsselungen wird eingestellt

Der DocuSign-Support für TLS 1.0 und schwache Verschlüsselungs-Suites wird am 25. Juni 2018 eingestellt. Dieses Datum wurde vom Payment Card Industry Security Standards Council festgelegt und ist eine branchenweite Anforderung, um weiterhin PCI-konform zu bleiben.

Support für TLS 1.0 in Demoumgebung wird am 29. Mai 2018 eingestellt

Dieser frühe Termin für die Demoumgebung ermöglicht es Kunden, sich rechtzeitig auf die Einstellung des Supports von TLS 1.0 in der Produktionsumgebung, die am 25. Juni stattfindet, vorzubereiten.

So haben Kunden ausreichend Zeit, die erforderlichen Aktualisierungen für die Integrationen durchzuführen, bevor TLS 1.0 nicht länger in der Produktionsumgebung unterstützt wird.

Daten für das Einstellen des Supports:

Umgebung

Einstellung von TLS 1.0 und anderen schwachen Verschlüsselungen

Demo

29.05.2018

Produktion

25.06.2018


Inhaltsverzeichnis

Übersicht


Was sind TLS und Verschlüsselungs-Suites?

Mit TLS (Transport Layer Security) erhalten Sie Datenschutz und Datenintegrität durch verschlüsselten Datenaustausch zwischen zwei Endpunkten. Mithilfe der Verschlüsselung des Datenaustauschs können unautorisierte Dritte die übertragenen Daten nicht sehen und auch nicht eingreifen. Zusätzlich wird von TLS der Endpunkt verifiziert, sodass die Daten, die an einen Remote-Endpunkt gesendet werden, auch an dem vorgesehen Ziel ankommen. Die derzeitigen TLS-Versionen sind 1.0, 1.1 und 1.2. Im Hintergrund laufen die Verschlüsselungs-Suites. Das sind die in TLS verwendeten Verschlüsselungsalgorithmen mit denen die Daten verschlüsselt werden. Je stärker die Verschlüsselungs-Suite ist, desto schwieriger ist es für Dritte in den Datenaustausch einzugreifen.

Was ändert sich?

Die DocuSign-Services werden aktualisiert und unterstützen nur noch TLS 1.1 und höher ab dem 29. Mai 2018 in der Demoumgebung und ab dem 25. Juni 2018 in der Produktionsumgebung. DocuSign stellt an diesen Daten den Support für TLS 1.0 und schwache Verschlüsselungs-Suites ein. Für Kunden, die weiterhin TLS 1.0 oder schwache Verschlüsselungs-Suites verwenden, resultiert dies in Service-Unterbrechungen.

Wozu ist die Änderung?

Dass der Support für TLS 1.0 und schwache Verschlüsselungs-Suites eingestellt wird, wurde vom Payment Card Industry Security Standards Council festgelegt und ist eine branchenweite Anforderung, um weiterhin PCI-konform zu bleiben. Zusätzlich gehört das Thema Sicherheit zu den wichtigsten bei DocuSign. Dieser Support wird im Wesentlichen deshalb eingestellt, damit keine Technologie genutzt wird, die für unsere Kunden risikobehaftet ist. Mit dem Fortschritt in der Computing-Leistung und dem Cloud-Computing können TLS 1.0 und bestimmte Verschlüsselungen nicht länger mithalten.

Weitere Informationen erhalten Sie im Blog des PCI Council (in Englisch):

https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls

Weitere Informationen zur Sicherheit mit DocuSign (in Englisch):

https://www.docusign.com/how-it-works/security

Welche Verschlüsselungen werden eingestellt?

Zusätzlich zur Beendigung des TLS-1.0-Supports stellen wir auch den Support für schwache Verschlüsselungs-Suites ein. Zu den betroffenen Verschlüsselungen gehören 3DES und einige andere, deren Schlüssellänge für eine sichere Kommunikationsverschlüsselung nicht ausreicht.

Der Support folgender Verschlüsselungen wird eingestellt:

  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
 

Was sind die Auswirkungen für mich?

Nur wenige Kunden verwenden TLS 1.0 und diese schwachen Verschlüsselungs-Suites. Wenn sie noch eingesetzt werden, dann nur, um hauptsächlich ältere Integrationen zu unterstützen. Diese älteren Integrationen müssen nun auf TLS 1.1 und höher aktualisiert werden, damit die sicheren neuen Verschlüsselungen unterstützt werden. Das Aktualisieren einer Lösung ist häufig einfacher, als diese mit aktualisierten Bibliotheken neu zu kompilieren. Das PCI Security Standards Council hat einen detaillierten Leitfaden zur Migration von SSL und TLS-Vorgängerversionen herausgegeben.

Sobald DocuSign den Support für TLS 1.0 eingestellt hat, scheitern ein- und ausgehende DocuSign-Verbindungen, die Verschlüsselungen einsetzen, die nicht unterstützt werden.

Wie kann ich Leistungsunterbrechungen vermeiden?

Das hängt ganz davon ab, wie Sie auf DocuSign zugreifen. Am besten listen Sie alle Verbindungspunkte zu DocuSign auf und prüfen, ob für alle TLS 1.1 oder höher und leistungsstarke Verschlüsselungs-Suites eingesetzt werden.

Aktionen

Internetbrowser

Webbrowser, die für Interaktionen mit DocuSign verwendet werden, müssen für einen fehlerfreien Einsatz entsprechend konfiguriert werden. Hier finden Sie Informationen zu unterstützten Browsern, die Sie zum Verbinden mit DocuSign nutzen können. Bei Verbindungsproblemen hilft es zumeist, einfach die neueste Version des Browsers zu verwenden.

Ist mein Browser kompatibel?

Auf der Website von SSL Labs können Sie testen, ob Ihr Browser TLS 1.1 oder höher unterstützt:

https://www.ssllabs.com/ssltest/viewMyClient.html

Wenn das Feld „Protocol Support” die Meldung „Your user agent has good protocol support.” anzeigt, sind keine weiteren Aktionen Ihrerseits erforderlich.

Mein Browser wird nicht unterstützt. Wie geht es weiter?

Wenn der Test ergibt, dass Ihr Browser kein TLS 1.1 oder höher unterstützt, finden Sie die Liste mit unterstützten Browsern unten. Benutzer mit Browsern, die kein TLS 1.1 oder höher unterstützen, können auf DocuSign in der Demoumgebung ab dem 29. Mai 2018 und in der Produktionsumgebung ab dem 25. Juni 2018 NICHT mehr zugreifen. Am besten unterstützen Sie TLS 1.1 und TLS 1.2 umgehend, um Service-Unterbrechungen für DocuSign zu vermeiden.

HINWEIS: Die Mindestanforderung für die Sicherheitseinstellungen Ihres Browsers ist das Verschlüsselungsprotokoll mit TLS 1.1 oder TLS 1.2. Die Best Practice für den sicheren Einsatz des Browsers ist, TLS 1.0 zu deaktivieren. Sollten Sie TLS 1.0 neben TLS 1.1 und 1.2 für den Browser verwenden, ist dies zwar nicht empfehlenswert, kann aber gemacht werden. TLS-Kompatibilität – Übersicht:

Microsoft Internet Explorer und Microsoft Edge

Browserversion

TLS-Support

Desktop und mobiles Internet Explorer 11 (Windows 8 und 10)

Ja – standardmäßig TLS 1.1 und höher

Internet Explorer 8, 9 und 10

Nur Windows 7 oder höher; muss manuell aktiviert werden.
Microsoft stellt eine Anleitung für das manuelle Aktivieren zur Verfügung: https://support.microsoft.com/de-de/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in


Windows Vista und die Vorgängerversionen können nicht für TLS 1.1 oder höher konfiguriert werden

Internet Explorer 7 und Vorgängerversionen

Kein Support

Mobiles Internet Explorer 10 und Vorgängerversionen

Kein Support

Microsoft Edge

Ja – standardmäßig TLS 1.1 und höher

 

Mozilla Firefox

Browserversion

TLS-Support

Firefox 27 und höher

Ja – standardmäßig TLS 1.1 und höher

Firefox 23 bis 26

Unterstützt TLS 1.1 oder höher, wenn richtig konfiguriert; folgen Sie der Firefox-Anleitung zum Aktivieren von TLS 1.1 oder höher

Firefox 22 und Vorgängerversionen

Kein Support

 

Google Chrome (Desktop und mobil)

Browserversion

TLS-Support

Google Chrome 38 und höher

Ja – standardmäßig TLS 1.1 und höher

Google Chrome 22 bis 37

Folgende Betriebssysteme unterstützten TLS 1.1 oder höher:

Windows XP SP3, Vista oder höher

OS X 10.6 (Snow Leopard) oder höher

Android 2.3 (Gingerbread) oder höher

Google Chrome 21 und Vorgängerversionen

Kein Support

Google Android OS 5.0 (Lollipop) und höher

Ja – standardmäßig TLS 1.1 und höher

Google Android OS 4.4 (KitKat) bis 4.4.4

Hängt vom Gerät ab

Google Android OS 4.3 (Jelly Bean) und Vorgängerversionen

Kein Support


Apple Safari (Desktop und mobil)

Browserversion

TLS-Support

Safari 7 und höher für OS X 10.9 (Mavericks) und höher

Ja – standardmäßig TLS 1.1 und höher

Safari 6 und Vorgängerversionen für OS X 10.8 (Mountain Lion) und Vorgängerversionen

Kein Support

Mobiles Safari 5 und höher für iOS 5 und höher

Ja – standardmäßig TLS 1.1 und höher

Mobiles Safari für iOS 4 und Vorgängerversionen

Kein Support

API-Integrationen

Wenn Sie Integrationen zum Verbinden mit DocuSign verwenden, wie API oder eine Drittanbieterlösung, sind möglicherweise folgende Schritte für Sie erforderlich. Am besten wenden Sie sich an den Hersteller/Eigentümer der von Ihnen genutzten Lösung.

Sollten Sie eine Lösung eines Drittanbieters einsetzen, wenden Sie sich am besten an diesen, um sicherzustellen, dass TLS 1.1 oder höher und starke Verschlüsselungs-Suites genutzt werden.

Falls Sie eine Integration mit DocuSign via REST oder SOAP API haben, muss im Code festgelegt sein, dass der Datenaustausch mit TLS 1.1 oder höher und starken Verschlüsselungs-Suites durchgeführt wird. Vielleicht setzen Sie eine Code-Bibliothek für den Ablauf und die API-Protokollkommunikation ein.

Mit dem folgenden SSL-Bericht können Sie testen, wie kompatibel verschiedene Versionen mit Ihrer Integration sind (in Englisch):

https://www.ssllabs.com/ssltest/analyze.html?d=www.docusign.net

Nachfolgend einige Clients, für die Sie am besten ein Upgrade durchführen sollten, wenn Sie diese in Ihrer Organisation nutzen:

# Nicht simulierte Clients (Protokoll stimmt nicht überein)

Android 2.3.7 No SNI 2

Protokoll stimmt nicht überein (nicht simuliert)

Android 4.0.4

Protokoll stimmt nicht überein (nicht simuliert)

Android 4.1.1

Protokoll stimmt nicht überein (nicht simuliert)

Android 4.2.2

Protokoll stimmt nicht überein (nicht simuliert)

Android 4.3

Protokoll stimmt nicht überein (nicht simuliert)

Baidu Jan 2015

Protokoll stimmt nicht überein (nicht simuliert)

Internet Explorer 6/Windows XP No FS 1 No SNI 2

Protokoll stimmt nicht überein (nicht simuliert)

Internet Explorer 7/Windows Vista

Protokoll stimmt nicht überein (nicht simuliert)

Internet Explorer 8/Windows XP No FS 1 No SNI 2

Protokoll stimmt nicht überein (nicht simuliert)

Internet Explorer 8 bis 10/Windows 7 R

Protokoll stimmt nicht überein (nicht simuliert)

Internet Explorer 10/Windows Phone 8.0

Protokoll stimmt nicht überein (nicht simuliert)

Java 6u45 No SNI 2

Protokoll stimmt nicht überein (nicht simuliert)

Java 7u25

Protokoll stimmt nicht überein (nicht simuliert)

OpenSSL 0.9.8y

Protokoll stimmt nicht überein (nicht simuliert)

Safari 5.1.9/OS X 10.6.8

Protokoll stimmt nicht überein (nicht simuliert)

Safari 6.0.4/OS X 10.8.4 R

Protokoll stimmt nicht überein (nicht simuliert)

Die folgenden Web-Client-Versionen können auch nach dem Einstellen von TLS 1.0 für DocuSign genutzt werden:

Android 4.4.2

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Android 5.0.0

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Android 6.0

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Android 7.0

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

BingPreview Jan 2015

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Chrome 49/XP SP3

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Chrome 57/Win 7 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 31.3.0 ESR/Windows 7

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 47/Windows 7 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 49/Windows XP SP3

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 53/Windows 7 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Googlebot Feb 2018

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Internet Explorer 11/Windows 7 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Internet Explorer 11/Windows 8.1 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Internet Explorer 11/Windows Phone 8.1 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Internet Explorer 11/Windows Phone 8.1 Update R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Internet Explorer 11/Windows 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Edge 15/Windows 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Edge 13/Windows Phone 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Java 8u161

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

OpenSSL 1.0.1l R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

OpenSSL 1.0.2e R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 6/iOS 6.0.1

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 7/iOS 7.1 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 7/OS X 10.9 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 8/iOS 8.4 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 8/OS X 10.10 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 9/iOS 9 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 9/OS X 10.11 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 10/iOS 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 10/OS X 10.12 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Apple ATS 9/iOS 9 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Yahoo Slurp Jan 2015

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

YandexBot Jan 2015

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Microsoft stellt umfassende Dokumentation zur Beendung von TLS 1.0 für Microsoft-Kunden zur Verfügung (in Englisch):

https://www.microsoft.com/en-us/download/details.aspx?id=55266

Falls Sie nicht wissen, ob Ihr Produkt kompatibel ist, wenden Sie sich an den DocuSign-Kontomanager oder erstellen Sie eine Supportanfrage. 

Connect-Integrationen

Connect-Listener sind ebenfalls von der Beendung des Supports für TLS 1.0 und schwache Verschlüsselungs-Suites betroffen.

Die PCI-Compliance sieht vor, dass Verbindungen mit TLS 1.0 für alle ein- und ausgehenden Anfragen nicht länger unterstützt werden. Dasselbe gilt für die vorstehend aufgeführten veralteten Verschlüsselungen.

Kunden, die Connect-Listener verwenden, vermeiden eine Service-Unterbrechung nach der Beendung des TLS-1.0-Supports, indem Sie für die Listener TLS 1.1 oder höher nutzen.

Die für die Implementierung von Connect-Listener verwendeten Sprachen und Bibliotheken können voneinander abweichen. Nachstehend haben wir für Sie häufig verwendete Varianten aufgeführt:

Java-Anwendungen:

  • Java 6 (1.6) oder Vorgänger sind nicht mit TLS 1.1 oder höher kompatibel
  • Java 7 (1.7) unterstützt TLS 1.1 und TLS 1.2; nicht standardmäßig aktiviert
  • Java 8 (1.8) oder höher unterstützt TLS 1.1 oder TLS 1.2 standardmäßig
 

.NET-Anwendungen:

  • Das Protokoll kann für die Anwendung mit der Klasse ServicePointManager festgelegt werden. Durch die Eigenschaft SecurityProtocol können Sie die TLS-Version direkt festlegen:
 System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;
In diesem Artikel erfahren Sie, wie Sie das meiste an Sicherheit für die Version von .NET Framework für Ihre App herausholen.  
 

Anwendungen mit OpenSSL (PHP, Perl, Python etc.)

  • OpenSSL v1.01 oder höher unterstützt TLS 1.1 und TLS 1.2
 

Wenn Sie wissen möchten, ob Ihre DocuSign-Connect-Listener TLS 1.1/1.2 unterstützen, wenden Sie sich an Ihr IT- und Entwicklerteam.

DocuSign-Produkte

Die nachstehenden Produkte wurden aktualisiert und sind mit TLS 1.2 konform. Führen Sie ein Upgrade auf die neueste Version durch und installieren Sie sie.
Die folgenden älteren Produkte werden nicht länger unterstützt und funktionieren daher auch nicht mehr:
  • DocuSign für Outlook (Windows .MSI Install) – (nicht zu verwechseln mit DocuSign für Outlook, das weiterhin unterstützt wird)
  • DocuSign für SharePoint On-Prem 2010
  • DocuSign für Dynamics On-Prem 2011

Weitere Informationen