Abandon de TLS 1.1 et de la prise en charge de chiffrements faibles

Suivant les bonnes pratiques de l’industrie, DocuSign prévoit la suppression de certains chiffrements faibles le 12 janvier 2021 et la fin du support TLSv1.1 le 9 juin 2021.

Le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI Security Standards Council) a demandé aux entreprises qui souhaitaient rester conformes à la norme de sécurité des données PCI (PCI DSS) de passer à TLS 1.2 d’ici juin 2020, ce qu’elles ont déjà fait.

TLSv1.1 et certaines suites de chiffrement faibles sont utilisés par quelques clients pour prendre en charge des intégrations anciennes qui utilisent des API SOAP ou REST. Ces intégrations devront être mises à jour pour qu’elles prennent en charge des protocoles et des algorithmes de chiffrement modernes et sécurisés ce qui est souvent aussi simple qu’une recompilation de la solution avec des bibliothèques mises à jour.

En plus de l’abandon du protocole TLSv1.1, DocuSign retirera aussi un ensemble de suites de chiffrement qui ne sont plus considérées comme sécurisées. Ceci inclut des algorithmes de chiffrement qui ont une longueur de clé insuffisante pour chiffrer des communications en toute sécurité.

Les algorithmes de chiffrement qui vont être abandonnés sont les suivants :

  • AES256-SHA
  • DES-CBC3-SHA
  • AES128-GCM-SHA256
  • RSA-AES-128-CBC-SHA
  • RSA-AES-256-CBC-SHA
  • RSA-AES-256-CBC-SHA256
  • RSA-AES-128-CBC-SHA256

 

Tous les navigateurs internet actuels pris en charge par DocuSign utilisent déjà par défaut les nouvelles versions de TLS, et ce changement passera donc inaperçu pour les utilisateurs web et mobiles. La prise en charge de TLS 1.1 a déjà été abandonnée de docusign.com plus tôt cette année.

Dates clés :

Chiffrements :

14 décembre 2020 : abandons des chiffrements faibles dans les environnements « stage » et de démonstration.
12 janvier 2021 : abandons des chiffrements faibles dans les environnements de production.

TLS 1.1 :

11 mai 2021 : TLS 1.1 sera obsolète dans l’environnement de démonstration.
8 juin 2021 : TLS 1.1 sera obsolète dans l’environnement de production.
1er juillet 2021 : abandon de TLS 1.1 terminé.

Lisez l’article Se préparer à l’abandon de TLS 1.1 sur notre blog pour obtenir des conseils sur la manière d’implémenter ces changements dans vos intégrations.

Veuillez contacter l’assistance DocuSign pour toute question supplémentaire.