Mise à jour des protocoles de sécurité
Dans le cadre de notre engagement continu sur la sécurité, nous tenons à vous informer de mises à jour importantes concernant nos opérations de sécurité.
Celles-ci sont spécifiquement liées aux protocoles de communication, avec la suppression du support des protocoles SSLv3, TLS1.0, TLS1.1 puis des ciphers obsolètes (suite cryptographique).
Il est absolument nécessaire de vous mettre à jour et en conformité avec les protocoles supportés, notamment le TLS1.2 & TLS 1.3. Faute de quoi, vous ne pourrez vous plus vous servir de votre solution une fois la mise à jour effectuée.
Période de test
Des URI de test sont disponibles pour vous permettre de vérifier les protocoles et ciphers cibles :
- URI de test de connexion à DMC à https://www.dmc.sfr-sh.fr:1443/
- URI de test utilisation des API DMC à https://www.dmc.sfr-sh.fr:1443/ApiWorkshop/
Les impacts :
Ces changements auront des répercussions sur les flux utilisant :
- les certificats dmc.sfr-sh.fr, notamment les connexions à l’extranet DMC (Navigateurs obsolètes)
- les appels API
- les liens dans les mails
- les connexions via le protocole SMPP.
Liste des Ciphers cible
Vous trouverez ci-dessous les fichiers Excel contenant toutes les informations, les aides en ligne et les navigateurs supportés, pour TLS 1.3 et TLS1.2.
Liste des ciphers non supportés
Les ciphers suivant sont dans la liste ANSSI mais ne sont pas proposé car le certificat est signé RSA
Protocoles et ciphers cibles supportés :
TLS1.3 Code TLS Suite cryptographique 0x1302 TLS_AES_256_GCM_SHA384 0x1301 TLS_AES_128_GCM_SHA256 0x1303 TLS_CHACHA20_POLY1305_SHA256 | TLS1.2 Code TLS Suite cryptographique 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0x009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 0x009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 0x006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 0xC028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 0xC027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
Recommandation de l’ANSSI : https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/
Article précédentArticle suivant