Fin de la prise en charge de TLS 1.1 et des chiffrements anciens

DocuSign suit les bonnes pratiques du secteur et prévoit la suppression des algorithmes de chiffrement faibles ainsi que la fin de la prise en charge des anciennes versions de TLS en 2021.

Le Conseil des normes de sécurité PCI (PCI Security Standards Council) impose aux entreprises souhaitant rester conformes aux normes de sécurité des données PCI (PCI DSS) de passer à TLS 1.2 d’ici juin 2021.

Un ensemble restreint de clients utilisent TLS 1.1 et quelques anciennes suites de chiffrement pour prendre en charge des intégrations avec les API SOAP ou REST. Ces intégrations devront être mises à jour pour mettre en œuvre des algorithmes de chiffrement et des protocoles modernes et sécurisés. Procéder à cette mise à jour est souvent aussi simple que de recompiler la solution avec de nouvelles bibliothèques.

En plus de l’abandon du protocole TLS 1.1, DocuSign supprime également un ensemble de suites de chiffrement qui ne sont plus considérées comme sécurisées. Ceci inclut des chiffrements disposant d’une longueur de clé insuffisante pour pouvoir chiffrer des communications en toute sécurité.

Les chiffrements qui vont être abandonnés sont les suivants :

Phase 1 : mai 2021 (terminé)

  • RSA-AES-256-CBC-SHA256 (liaison entrante)
  • RSA-AES256-CBC-SHA-384 (liaison entrante)
  • RSA-CAMELLA-256-CBC-SHA (liaison entrante)
  • RSA-CAMELLA-128-CBC-SHA (liaison entrante)

 

Phase 2 : octobre 2021 (terminé)

 

  • DES-CBC3-SHA (liaison entrante)

 

Tous les navigateurs internet actuels pris en charge par DocuSign utilisent déjà par défaut les nouvelles versions de TLS. Ce changement passera donc inaperçu pour les utilisateurs Web et mobiles. Les points d’entrée de docusign.com ont cessé de prendre en charge TLS 1.1 plus tôt dans l’année.

 

Jusqu’à présent, DocuSign autorisait le TLS opportuniste sur les e-mails sortants. En pratique, le système utilisait la version TLS la plus élevée possible lors de l’envoi d’e-mails aux destinataires de l’enveloppe. Si le serveur de messagerie du destinataire ne prenait pas en charge TLS 1.2, le système essayait alors TLS 1.1 et ainsi de suite. Nous mettons maintenant fin à la prise en charge des versions inférieures de TLS sortant.

Dates clés :

Chiffrements - Phase 1

  • Démo : 22 avril 2021
  • Production : 9 mai 2021

Chiffrements - Phase 2

  • Démo : 9 août 2021
  • Production : 11 octobre 2021

TLS 1.1 entrant

  • Démo : 13 avril 2021
  • Production : 9 mai 2021 Environnements NA1/NA2/NA3/NA4
  • Production : 13 juillet 2021 Environnements EU/CA/AU

TLS 1.0 sortant

  • Démo : 23 juin 2021
  • Production : 31 octobre 2021

Aucun TLS sortant

  • Démo : objectif : 3 décembre 2021
  • Production : objectif : 10 décembre 2021
  • Mise à jour de janvier 2022 : ce changement a été repoussé, d’autres informations seront fournies dans les prochains mois.

 

Lisez l’article Se préparer à l’abandon de TLS 1.1 sur notre blog pour obtenir des conseils sur la manière d’implémenter ces changements dans vos intégrations.