Abandon de TLS 1.0 et de la prise en charge de chiffrements faibles

DocuSign abandonne la prise en charge de TLSv1.0 ainsi que d’autres suites de chiffrements faibles le 25 juin 2018. Cette date a été définie par le Conseil des normes de sécurité PCI (Industrie des cartes de paiement) et est une demande de l’industrie pour pouvoir rester conforme à PCI.

DocuSign abandonne la prise en charge de TLS 1.0 ainsi que d’autres suites de chiffrements faibles le 25 juin 2018. Cette date a été définie par le Conseil des normes de sécurité PCI (Industrie des cartes de paiement) et est une demande de l’industrie pour pouvoir rester conforme à PCI.

La prise en charge de TLS 1.0 pour l’environnement de démonstration prend fin le 29 mai 2018

Cette date avancée pour l’environnement de démonstration permettra aux clients de tester en vue de se préparer pour la date limite de l’environnement de production du 25 juin.

Elle fournira un laps de temps aux clients pour faire les mises à jour nécessaires aux intégrations avant que les environnements de production abandonnent la prise en charge de TLS 1.0.

Dates de fin de prise en charge :

Environnement

Date d’abandon de TLSv1.0 et de la prise en charge de chiffrements faibles

Démonstration

29/05/18

Production

25/06/18


Sommaire

Vue d’ensemble


Qu’est‑ce que TLS et les suites de chiffrements ?

TLS (Transport Layer Security) ou Sécurité de la couche de transport assure la confidentialité et l’intégrité des données en permettant les communications cryptées entre deux points d’extrémité. Le chiffrement de ces canaux de communication veille à ce que des tiers non autorisés soient incapables de voir ou d’intercepter les données transmises. En outre, TLS confirme que les données envoyées à un point de terminaison atteignent bien la bonne destination en vérifiant l’identité du point de terminaison. Les trois versions de TLS en usage aujourd'hui sont 1.0, 1.1 et 1.2. En coulisse, les suites de chiffrement sont les algorithmes de chiffrement utilisés dans TLS pour crypter les données. Plus la suite de chiffrement est forte, plus il sera difficile pour des tiers d’intercepter la communication.

Qu’est‑ce qui change ?

DocuSign va mettre à jour ses services pour uniquement prendre en charge TLS 1.1 ou supérieur, à commencer du 29 mai 2018 en DÉMO et du 25 juin 2018 en PRODUCTION. À ces dates, DocuSign désactivera TLS 1.0 et les suites de chiffrement faibles. Tout client qui continuera d’utiliser TLS 1 ou des suites de chiffrement faibles connaîtra une interruption de service.

Pourquoi ce changement est‑il nécessaire ?

L’arrêt de la prise en charge de TLS 1.0 et des algorithmes de chiffrement plus faibles a été mandaté par le Conseil des normes de sécurité PCI et est une demande de l’industrie pour pouvoir rester conforme à PCI. De plus, DocuSign est impliqué dans la sécurité et une grande partie de cet engagement est d’abandonner la prise en charge de technologies qui rendent nos clients vulnérables. Les avancements dans la puissance de calcul et du cloud computing ont rendu TLS 1.0 et certains chiffrements faibles et vulnérables.

Pour plus d’informations, consultez le blog du Conseil PCI :

https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls

Pour plus d’informations sur l’engagement de DocuSign envers la sécurité, reportez‑vous à notre site :

https://www.docusign.com/how-it-works/security

Quels algorithmes de chiffrement seront déclassés ?

En plus de l’abandon du protocole TLS 1.0, nous retirerons aussi un ensemble de suites de chiffrement qui ne sont plus considérées comme sécurisées. Ceci inclut des algorithmes de chiffrement tel que 3DES ainsi que quelques autres qui ont une longueur de clé insuffisante pour chiffrer des communications en toute sécurité.

Les algorithmes de chiffrement qui vont être abandonnés sont les suivants :

  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
 

Comment vais‑je être affecté ?

TLS 1.0 et ces suites de chiffrement faibles sont encore utilisées par quelques clients pour prendre en charge des intégrations. Ces intégrations devront être mises à jour pour prendre en charge TLS 1.1 ou supérieur et des algorithmes de chiffrement modernes et sécurisés. Une mise à jour est souvent aussi simple qu’une recompilation de la solution avec des bibliothèques mises à jour. Le Conseil des normes de sécurité PCI a publié ici des directives détaillées sur la migration de SSL et des premiers TLS.

Quand DocuSign aura désactivé TLS 1.0, toute connexion entrante ou sortante de DocuSign qui n’aura pas été migrée de TLS 1.0 échouera.

Comment éviter une interruption de service ?

Cela dépend de la façon dont les clients accèdent à DocuSign. Notre recommandation serait que ces clients inventorient leurs points de connexion vers DocuSign et s’assurent qu’ils soient à jour concernant la prise en charge de TLS 1.1 ou de suites de chiffrement supérieures et plus fortes.

Actions

Navigateurs Internet

Les interactions avec DocuSign fondée via navigateur web échoueront si elles ne sont pas configurées correctement. Veuillez vous reporter à la liste des navigateurs pris en charge pour se connecter à DocuSign. Dans de nombreux cas, changer simplement de navigateur pour un navigateur moderne permettra de résoudre les problèmes de connectivité.

Comment tester votre navigateur pour voir s’il est compatible

SSL Labs offre un test de compatibilité qui peut être utilisé pour vérifier la prise en charge de TLS 1.1 ou version ultérieure de différents navigateurs web :

https://www.ssllabs.com/ssltest/viewMyClient.html

Si la case « Protocol Support » sur le site de validation affiche : « Your user agent has good protocol support. » (Votre agent utilisateur a une bonne prise en charge de protocoles), aucune action n’est requise.

Action requise pour la compatibilité avec les navigateurs

Si le test indique que votre navigateur ne prend pas en charge TLS 1.1 ou supérieur, reportez‑vous au tableau de compatibilité ci‑dessous pour vous assurer que vous utilisez un navigateur pris en charge. Tout utilisateur d’un navigateur qui ne prend pas en charge TLS 1.1 ou supérieur ne sera PLUS en mesure d’accéder à DocuSign à compter du 29 mai 2018 (Démo) et du 25 juin 2018 (Production). Nous vous recommandons de commencer à planifier la prise en charge de TLS 1.1 et TLS 1.2 dès que possible pour empêcher toute interruption de l’accès à DocuSign.

REMARQUE : le minimum requis est d’activer le protocole de chiffrement TLS 1.1 ou TLS 1.2 dans les paramètres de sécurité de votre navigateur. Comme bonne pratique, nous recommandons de désactiver entièrement TLS 1.0 pour fournir une expérience de navigation plus sûre. Cependant, avoir dans le navigateur TLS 1.0 activé à côté de 1.1 et 1.2 fonctionnera toujours.

Vue d’ensemble de compatibilité avec TLS :

Microsoft Internet Explorer (IE) et Microsoft Edge

Version du navigateur

Prise en charge TLS

Internet Explorer 11 desktop et mobile (Windows 8 et 10)

Oui - TLS 1.1 ou meilleure par défaut

Internet Explorer 8, 9 et 10

Uniquement sur Windows 7 ou supérieur. Doit être activée manuellement. Microsoft a fourni des instructions pour une activation manuelle ici : https://support.microsoft.com/fr-fr/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in


Les systèmes d’exploitation Windows Vista et antérieurs ne peuvent pas être configurés pour prendre en charge TLS 1.1 ou supérieur.

Internet Explorer 7 et versions antérieures

Aucune prise en charge

Versions de IE Mobile 10 et versions antérieures

Aucune prise en charge

Microsoft Edge

Oui - TLS 1.1 ou meilleure par défaut

 

Mozilla Firefox

Version du navigateur

Prise en charge TLS

Firefox 27 et plus

Oui - TLS 1.1 ou meilleure par défaut

Firefox 23 à 26

Prend en charge TLS 1.1 ou supérieur si configuré. Suivez les instructions de Firefox ici pour les étapes à suivre pour activer TLS 1.1 ou supérieur.

Firefox 22 et versions antérieures

Aucune prise en charge

 

Google Chrome (desktop et mobile)

Version du navigateur

Prise en charge TLS

Google Chrome 38 et plus

Oui - TLS 1.1 ou meilleure par défaut

Google Chrome 22 à 37

Prend en charge TLS 1.1 ou meilleure, seulement sur les systèmes d’exploitation suivants :

Windows XP SP3, Vista, ou plus récent

OS X 10.6 (Snow Leopard) ou plus récent

Android 2.3 (Gingerbread) ou plus récent

Google Chrome 21 et versions antérieures

Aucune prise en charge

Google Android OS 5.0 (Lollipop) et plus

Oui - TLS 1.1 ou meilleure par défaut

Google Android OS 4.4 (KitKat) à 4.4.4

Varie selon l’appareil

Google Android OS 4.3 (Jelly Bean) et versions antérieures

Aucune prise en charge


Apple Safari (desktop et mobile)

Version du navigateur

Prise en charge TLS

Versions de Safari 7 et supérieures pour OS X 10.9 (Mavericks) et versions ultérieures

Oui - TLS 1.1 ou meilleure par défaut

Versions de Safari 6 et versions antérieures pour OS X 10.8 (Mountain Lion) et en dessous

Aucune prise en charge

Versions de Safari Mobile 5 et supérieures pour iOS 5 et supérieur

Oui - TLS 1.1 ou meilleure par défaut

Safari Mobile pour iOS 4 et en dessous

Aucune prise en charge

Intégrations d’API

Si vous utilisez des intégrations pour vous connecter à DocuSign via une API ou une application de tierce partie, vous aurez peut‑être à suivre certaines étapes supplémentaires. La meilleure façon de procéder serait de contacter le propriétaire de votre solution.

Si vous utilisez une intégration tierce, vous devriez contacter la tierce partie pour vous assurer qu’elle utilise des suites de chiffrement robustes et TLS 1.1 ou version ultérieure.

Si vous êtes propriétaire d’une intégration avec DocuSign via une API REST ou SOAP – vous devez vous assurer qu’elle négocie dans votre code avec TLS 1.1 ou version ultérieure et les suites de chiffrement fortes. Vous pouvez utiliser une bibliothèque de code pour aider au développement et à la communication de protocole API.

Ce rapport SSL peut vous aider à valider les différentes versions pour la compatibilité avec votre intégration :

https://www.ssllabs.com/ssltest/analyze.html?d=www.docusign.net

Voici quelques‑uns des clients que DocuSign recommande de mettre à jour s’ils sont encore utilisés dans votre organisation :

Version des clients non simulés (Non-concordance de protocole)

Android 2.3.7 Pas SNI 2

Incompatibilité de protocole (non simulée)

Android 4.0.4

Incompatibilité de protocole (non simulée)

Android 4.1.1

Incompatibilité de protocole (non simulée)

Android 4.2.2

Incompatibilité de protocole (non simulée)

Android 4.3

Incompatibilité de protocole (non simulée)

Baidu Jan 2015

Incompatibilité de protocole (non simulée)

IE 6 / XP Pas FS 1 Pas SNI 2

Incompatibilité de protocole (non simulée)

IE 7 / Vista

Incompatibilité de protocole (non simulée)

IE 8 / XP Pas FS 1 Pas SNI 2

Incompatibilité de protocole (non simulée)

IE 8-10 / Win 7 R

Incompatibilité de protocole (non simulée)

IE 10 / Win Phone 8.0

Incompatibilité de protocole (non simulée)

Java 6u45 Pas SNI 2

Incompatibilité de protocole (non simulée)

Java 7u25

Incompatibilité de protocole (non simulée)

OpenSSL 0.9.8y

Incompatibilité de protocole (non simulée)

Safari 5.1.9 / OS X 10.6.8

Incompatibilité de protocole (non simulée)

Safari 6.0.4 / OS X 10.8.4 R

Incompatibilité de protocole (non simulée)

Les versions de clients web suivantes prendront en charge DocuSign après que TLS 1.0 aura été abandonné :

Android 4.4.2

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Android 5.0.0

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Android 6.0

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Android 7.0

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

BingPreview Jan 2015

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Chrome 49 / XP SP3

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Chrome 57 / Win 7 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 31.3.0 ESR / Win 7

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 47 / Win 7 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 49 / XP SP3

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Firefox 53 / Win 7 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Googlebot Feb 2018

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

IE 11 / Win 7 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

IE 11 / Win 8.1 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

IE 11 / Win Phone 8.1 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

IE 11 / Win Phone 8.1 Update R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

IE 11 / Win 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Edge 15 / Win 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Edge 13 / Win Phone 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Java 8u161

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

OpenSSL 1.0.1l R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

OpenSSL 1.0.2e R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 6 / iOS 6.0.1

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 7 / iOS 7.1 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 7 / OS X 10.9 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 8 / iOS 8.4 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 8 / OS X 10.10 R

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS

Safari 9 / iOS 9 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 9 / OS X 10.11 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 10 / iOS 10 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Safari 10 / OS X 10.12 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Apple ATS 9 / iOS 9 R

RSA 2048 (SHA256)

TLS 1.2 > http/1.1

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Yahoo Slurp Jan 2015

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

YandexBot Jan 2015

RSA 2048 (SHA256)

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS

Si vous êtes un client actuel de Microsoft, Microsoft fournit également une documentation complète sur les modification de TLS 1.0 :

https://www.microsoft.com/en-us/download/details.aspx?id=55266

Si vous n’êtes pas sûr de votre compatibilité, veuillez contacter votre représentant de l’assistance DocuSign ou créer un incident avec notre service d’assistance pour une assistance avec la vérification de compatibilité. 

Intégrations Connect

Les écoutes Connect sont aussi affectées par l’abandon de TLS 1.0 et des suites de chiffrement faible.

La conformité PCI exige que toutes les demandes entrantes et sortantes soient tenues d’abandonner les connexions TLS 1.0 ainsi que les chiffrements anciens cités ci‑dessus.

Les clients qui utilisent les écoutes Connect, devraient s’assurer que leur auditeur est capable de TLS 1.1 ou version ultérieure pour éviter les interruptions de service après la date limite.

Chaque langage/bibliothèque utilisé pour implémenter l’écoute Connect est différent. En Voici quelques‑uns parmi les plus communément utilisés.

Applications Java :

  • Java 6 (1.6) ou une version plus ancienne n’est pas compatible avec TLS 1.1 ou supérieur
  • Java 7 (1.7) prend en charge TLS 1.1 et TLS 1.2 mais ce n’est pas activé par défaut
  • Java 8 (1.8) ou une version supérieure prend en charge par défaut TLS 1.1 ou TLS 1.2
 

Applications .NET :

  • Le protocole peut être spécifié dans votre application à l’aide de la classe ServicePointManager. La propriété SecurityProtocol permet de spécifier la version du protocole TLS directement comme ceci :
 System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;
Cet article explique comment activer la sécurité disponible la plus forte pour la version du Framework .NET que votre application cible et sur laquelle elle s’exécute.  
 

Applications s’appuyant sur OpenSSL (PHP, Perl, Python, etc.) :

  • OpenSSL v1.01 ou plus récente prend en charge TLS 1.1 et TLS 1.2
 

Veuillez vérifier avec votre équipe informatique et de développement si une action est nécessaire pour que vos auditeurs DocuSign Connect prennent en charge TLS 1.1/1.2

Produits DocuSign

Les produits suivants sont mis à jour pour être conformes avec TLS 1.2. Vous devez mettre à jour et installer la dernière version.
Les produits existants suivants ne sont plus pris en charge et cesseront de fonctionner entièrement :
  • DocuSign pour Outlook (Windows .MSI Install) - (Ne doit ne pas être confondu avec DocuSign pour Outlook qui lui, reste pris en charge)
  • DocuSign pour SharePoint On-Prem 2010
  • DocuSign pour Dynamics On-Prem 2011

Articles connexes