Suites de chiffrement TLS
OneSpan utilise un pare-feu d’applications web (WAF) et une protection supplémentaire contre les attaques par déni de service. Cette protection est assurée par Cloudflare, et OneSpan utilise désormais les adresses IP entrantes utilisées par Cloudflare.
OneSpan Sign utilise également des suites de chiffrement Transport Layer Security (TLS). La sécurité de la couche de transport (TLS) est un protocole qui protège la confidentialité et l’intégrité des données échangées entre OneSpan Sign et les clients. TLS est un protocole qui assure la confidentialité et l’intégrité des données entre deux applications qui communiquent. C’est le protocole de sécurité le plus utilisé pour les navigateurs web et autres applications nécessitant un échange sécurisé de données sur un réseau. Grâce au chiffrement et à la vérification de l’identité du terminaison, TLS garantit qu’une connexion à un point d’accès distant est bien le point d’extrémité prévu.
Dépréciation des chiffres TLS hérités
Dans le cadre de notre engagement continu en matière de sécurité, nous allons déprécier certains chiffres TLS hérités. Nous allons éliminer progressivement les chiffres suivants aux dates suivantes :
Type | Environnement | Date de retrait progressive |
|---|---|---|
Chiffres de secret non en avant | Tous les environnements de bac à sable | 30 juin 2025 |
Chiffres de secret non en avant | Tous les autres environnements | 1er septembre 2025 |
Chiffres CBC | Tous les environnements de bac à sable | 1er mars 2026 |
Chiffres CBC | Tous les autres environnements | 30 juin 2026 |
Que dois-je faire ?
Nous vous recommandons de commencer immédiatement à travailler avec votre équipe informatique pour vous assurer que votre cadre d’intégration n’utilise aucune des suites de chiffrement mentionnées ci-dessus. Une fois terminé, veuillez tester votre environnement OneSpan Sign Sandbox pour vous assurer que toutes les communications TLS fonctionnent correctement. C’est une étape importante qui garantit que votre organisation ne subisse pas de perturbations de service.
Suites de chiffrement TLS 1.3
Les suites de chiffrement TLS 1.3 suivantes sont prises en charge :
TLS13-CHACHA20-POLY1305-SHA256
TLS13- AES-256-GCM-SHA384
TLS13- AES-128-GCM-SHA256
Suites de chiffrement TLS 1.2
Certaines de nos suites de chiffres TLS 1.2 ne seront plus prises en charge et seront obsolètes conformément au calendrier ci-dessus. Le tableau suivant liste les chiffres qui continueront d’être pris en charge, ainsi que ceux qui seront progressivement supprimés :
Suite de chiffres | Statut de soutien |
|---|---|
ECDHE-ECDSA-AES128-GCM-SHA256 | Soutenu |
ECDHE-RSA-AES128-GCM-SHA256 | Soutenu |
ECDHE-ECDSA-AES256-GCM-SHA384 | Soutenu |
ECDHE-RSA-AES256-GCM-SHA384 | Soutenu |
ECDHE-ECDSA-CHACHA20-POLY1305 | Soutenu |
ECDHE-RSA-CHACHA20-POLY1305 | Soutenu |
AES128-GCM-SHA256 | Il s’agit d’une suite de chiffrement Non-Forward Secrecy qui sera progressivement supprimée en 2025 |
AES128-SHA256 | Il s’agit d’une suite de chiffrement Non-Forward Secrecy qui sera progressivement supprimée en 2025 |
AES256-GCM-SHA384 | Il s’agit d’une suite de chiffrement Non-Forward Secrecy qui sera progressivement supprimée en 2025 |
AES256-SHA256 | Il s’agit d’une suite de chiffrement Non-Forward Secrecy qui sera progressivement supprimée en 2025 |
ECDHE-RSA-AES128-SHA256 | Il s’agit d’une suite de chiffrement de la CBC qui sera progressivement supprimée en 2026 |
ECDHE-RSA-AES256-SHA384 | Il s’agit d’une suite de chiffrement de la CBC qui sera progressivement supprimée en 2026 |
Versions TLS non prises en charge
Comme expliqué dans la section suivante, OneSpan Sign ne prend plus en charge les versions 1.0 et 1.1 de TLS.
TLS 1.2 est désormais le protocole de transport minimum approprié, et TLS 1.3 est fortement recommandé.
TLS 1.0 & 1.1 Plus pris en charge
Au fil du temps, de nombreuses vulnérabilités TLS 1.0 et TLS 1.1 ont été découvertes et exploitées par les attaquants. Par conséquent, TLS 1.0 et TLS 1.1 ne sont plus considérés comme des protocoles sécurisés.
La version 2.1 du OneSpan Sign fonctionne uniquement avec TLS 1.2.
La sécurité et la confiance sont au cœur de l’activité de OneSpan Sign. Pour nous aligner sur les meilleures pratiques du secteur, nous avons donc abandonné le support pour TLS 1.0 et 1.1.
Le tableau suivant montre quand TLS 1.0 a été désactivé dans divers environnements OneSpan Sign :
États-Unis (10.x) | États-Unis (11.x) | Canada | Europe | Australie | |
|---|---|---|---|---|---|
Bac à sable | 4 juin 2018 | 4 juin 2018 | 4 juin 2018 | N/A | N/A |
Production | 10 sept. 2018 | 10 sept. 2018 | 10 sept. 2018 | 10 sept. 2018 | 10 sept. 2018 |
TLS 1.1 a été désactivé dans les environnements OneSpan Sign aux dates suivantes :
Bac à sable : 20 mars au 11 mai 2020
Production : du 2 au 16 juin 2020
Parce que OneSpan Sign a désactivé TLS 1.0 et 1.1, les clients utilisant ces protocoles ne peuvent plus accéder aux services de signature électronique de OneSpan Sign.
En conséquence, vous devriez déjà avoir fait passer votre environnement à abandonner TLS 1.0 et 1.1, et activer le support de TLS 1.2 ou 1.3. Vous pouvez y parvenir en passant à la dernière version de l’environnement Java ou .NET (et, si vous utilisez une version plus ancienne de Microsoft Windows, en appliquant les packs de service nécessaires).
Pour plus d’informations, veuillez consulter les articles suivants :