como SalesForce cai TLS 1.0 na próxima semana, somos forçados a usar TLS 1.1 ou 1.2 em nossas chamadas de API, que usamos para extrair dados para o nosso DWH do Windows Server 2008R2 usando componentes personalizados CozyRoc SSIS. Instalamos as correções e nos certificamos de que o registro exigisse entradas, conforme declarado em this article. No entanto, não adicionamos chaves ao SCHANNEL, agora o único protocolo listado aqui é o SSL 2.0.
Em seguida, após a reinicialização, gravei um rastreio com o Wireshark para descobrir que nossos componentes do CozyRoc nos pacotes do SSIS usam o TLS 1.0, como na mensagem do Server Hello estamos recebendo o TLS 1.0 na seção do protocolo de handshake. Os componentes do CozyRoc que constroem a chamada suportam o TLS 1.2.
Minha pergunta é: como posso testar se nosso servidor pode usar o TLS 1.2 para se comunicar com o SalesForce? Eu sei que desabilitar o TLS 1.0 pode atrapalhar outras conexões, então eu não quero fazer isso. Idealmente, gostaria de saber que meus pacotes SSIS usam o TLS 1.2.
UPDATE: tentei conectar-me ao nosso site de teste do Salesforce, no qual o TLS 1.0 está desativado. Agora, ao tentar se conectar, recebo um erro dizendo
"UNSUPPORTED_CLIENT: TLS 1.0 has been disabled in this organization. Please use TLS 1.1 or higher when connecting to Salesforce using https. (System.Web.Services)"|
Eu ainda não sei se o culpado é a configuração do meu servidor ou o componente CozyRoc, portanto, estou procurando uma maneira de garantir que o TLS 1.2 funcione no servidor, independentemente da configuração do SSIS. Alguma ideia?
A resposta à minha pergunta é muito simples, basta visitar o link . Além disso, o rastreio do Wireshark indica que meu servidor usa o TLS 1.2 para trocar handshakes com o site do Salesforce enquanto testa a conexão.
Gargalo no meu caso é a versão do SSIS + da Cozyroc - atualmente é 1.6.103 e você precisa de pelo menos 1.6.104 para usar o TLS 1.1 ou superior, então certifique-se de verificar isso.
Mantenha-se informado de que o TLS 1.2 está desativado por padrão no Windows 2008 (consulte aqui ). Então você precisa ativá-lo por alteração de registro (veja abaixo), você também precisa entender que existe uma configuração do cliente e uma configuração do servidor. Portanto, se você, por exemplo, habilitar o TLS 1.2 em um nível de cliente, mas não em um nível de servidor, um nMAP em relação à porta 443 não mostrará que o TLS 1.2 está habilitado como seu único habilitado para um cliente.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000
O que você precisa aqui dificilmente depende do seu aplicativo e de como ele interage com um serviço remoto. Por exemplo, se o aplicativo de terceiros usar uma sessão https em seu ambiente, isso seria uma configuração do lado do servidor. No entanto, se você tiver um plug-in de terceiros em execução como um serviço que realiza conexões com o servidor de terceiros, essa é uma configuração do cliente.
Além disso, há um hotfix que permite que aplicativos e serviços que são escritos usando o WinHTTP para conexões SSL (Secure Sockets Layer) usem os protocolos TLS 1.1 ou TLS 1.2 que você deve instalar (isso não é feito já que é uma correção antiga ; consulte aqui ).
Além disso, se o componente de terceiros não fizer uso da implementação do Microsoft SCHANNEL, quaisquer alterações no lado do registro não funcionarão. Porque pode ser que o componente de terceiros esteja usando outra implementação SSL como o OpenSSL. Nesse caso, você precisa entrar em contato com o fornecedor para verificar como você pode habilitar o TLS 1.2 aqui. Isso, por exemplo, também é verdadeiro ao usar componentes Java (por exemplo, TomCat). Em seguida, ajustar a implementação do Microsoft SCHANNEL não os afetará.
SalesForce em si tem uma documentação muito boa do que foi dito em detalhes muito mais do que eu poderia dar aqui. Então, você deve verificar isso também (consulte aqui ). Além disso, eles oferecem várias maneiras de testar a configuração de TLS que você pode executar.
Etapas: Verificadas no Windows server 2010 também
Se estiver ativado, ele será exibido como ativado, conforme mostrado na foto. Espero que você tenha entendido agora ou deixe um comentário aqui