Passage d'ArcGIS Online à TLS 1.2, les impacts sur vos applications ArcGIS
Il y a quelques jours, j'évoquais l'article ci-dessous à propos d'une évolution importante d'ArcGIS Online autour du protocole TLS. Bien que cette évolution est toujours d'actualité, elle a été reportée à la mise à jour de février 2019 et non plus celle de décembre 2018 comme prévue initialement afin de vous permettre de réaliser les actions nécessaires. Vous noterez également cette page de documentation sur le site du support Esri pour vous aidez à vous préparer à cette évolution.
SSL et TLS sont deux protocoles de cryptographie qui permettant l’authentification et le chiffrement des données qui transitent entre des serveurs, des machines et des applications en réseau (notamment lorsqu’un client se connecte en "https" à un serveur Web). Le SSL est le prédécesseur du TLS. Au fil du temps, de nouvelles versions de ces protocoles ont vu le jour pour faire face aux vulnérabilités et prendre en charge des suites et des algorithmes de chiffrement toujours plus forts, toujours plus sécurisés. Depuis la découverte de la vulnérabilité POODLE en 2014, la version 3 de SSL en tant que protocole de sécurité a été remise en cause. Depuis 2014, Esri a adopté TLS 1.0 comme protocole par défaut et permet l'usage de TLS 1.1 et 1.2. Aujourd'hui, en 2018, les organismes de réglementation et de validation de conformité tels que la NIST, PCI ou FedRAMP ont déprécié le standard TLS 1.0 et, après un usage peu répandu du TLS 1.1, c'est désormais le protocole TLS 1.2 qui est la recommandation en vigueur. Une version 1.3 des spécifications de TLS a été validé en août 2018 mais son implémentation par les principales plateformes de Cloud (et par ArcGIS Online) est encore prématurée.
___________
SSL et TLS sont deux protocoles de cryptographie qui permettant l’authentification et le chiffrement des données qui transitent entre des serveurs, des machines et des applications en réseau (notamment lorsqu’un client se connecte en "https" à un serveur Web). Le SSL est le prédécesseur du TLS. Au fil du temps, de nouvelles versions de ces protocoles ont vu le jour pour faire face aux vulnérabilités et prendre en charge des suites et des algorithmes de chiffrement toujours plus forts, toujours plus sécurisés. Depuis la découverte de la vulnérabilité POODLE en 2014, la version 3 de SSL en tant que protocole de sécurité a été remise en cause. Depuis 2014, Esri a adopté TLS 1.0 comme protocole par défaut et permet l'usage de TLS 1.1 et 1.2. Aujourd'hui, en 2018, les organismes de réglementation et de validation de conformité tels que la NIST, PCI ou FedRAMP ont déprécié le standard TLS 1.0 et, après un usage peu répandu du TLS 1.1, c'est désormais le protocole TLS 1.2 qui est la recommandation en vigueur. Une version 1.3 des spécifications de TLS a été validé en août 2018 mais son implémentation par les principales plateformes de Cloud (et par ArcGIS Online) est encore prématurée.
Pour assurer une sécurité maximum de sa plateforme Cloud, Esri a décidé tout d'abord en septembre 2018 d'obliger l'ensemble des connexions à ArcGIS Online à se faire en HTTPS. Dans un deuxième temps, Esri mettra prochainement à jour la plateforme ArcGIS Online pour n'autoriser que le protocole TLS 1.2. Cette évolution se fera dans la prochaine mise à jour d'ArcGIS Online (prévue en février 2019).
Je résume ci-dessous les enjeux liés à cette évolution. En complément, un document détaillé rédigé par Esri (en anglais) est téléchargeable ici.
Je résume ci-dessous les enjeux liés à cette évolution. En complément, un document détaillé rédigé par Esri (en anglais) est téléchargeable ici.
A la suite de la mise à jour du 16 avril 2019 d'ArcGIS Online, les connexions entrantes ou sortantes aux ressources hébergées sur ArcGIS Online se faisant en TLS 1.0 ou 1.1, elles ne fonctionneront plus. Des actions sont nécessaires de la part de votre organisation pour mettre à jour certaines applications clientes. Ces actions varient selon les applications et les versions:
- ArcMap, ArcGlobe, ArcScene, ArcCatalog - 10.6 et inférieure (patch et clé de registre)
- ArcScene, ArcCatalog - 10.6.1 et inférieure (clé de registre)
- Portal for ArcGIS - 10.3.1 et inférieure (mise à jour vers des version plus récentes)
- Operations Dashboard Windows App (clé de registre)
Si vous utilisez des versions anciennes de de navigateur anciennes, les connexions à ArcGIS Online ne seront plus possibles:
- Firefox version 5.0 et inférieure
- Internet Explorer 8-10 sur Windows 7 ou inférieure
- Internet Explorer 10 sur Win Phone 8.0
- Safari 6.0.4/OS X10.8.4 et inférieure
Si vous utilisez ces anciennes générations d'appareils mobiles, les connexions à ArcGIS Online ne seront plus possibles sans action de mise à jour:
- Android 4.3 et inférieure
- ArcPad sur Mobile/CE 6.5 et inférieure (voir le patch CE v.7 pour TLS 1.2 )
Si vous utiliser ces anciens SDK, frameworks ou OS, les connexions à ArcGIS Online ne seront plus possibles sans action de mise à jour:
- Oracle Java 1.6 et versions inférieures
- .NET 3.5 et versions inférieures
- Python 2.7.8 et versions inférieures
- OpenSSL 1.0.0 et versions inférieures
- Windows 2008 / Vista et versions inférieures
Pour les actions à mettre en place sur toutes les plateformes et applications évoquées ci-dessus il s'agira dans la plupart des cas d'installation de patchs système ou d'exécution de script modifiant la base de registre. Ce document PDF d'Esri traite chaque cas en détail.
2 comments :
Bonjour,
Concernant l'évolution de la sécurité de la plateforme, confirmez vous qu'un Portal en version 10.5.1 supporte bien le TLS en version 1.2?
Il n'y aura pas de patch ou correctif à installer sur cette version de Portal pour supporter les appels vers ArcGIS Online qui passeront en TLS 1.2 only à partir de février ?
Je vous remercie pour votre retour.
Bonjour,
Les versions d'ArcGIS Enterprise 10.4.1 et supérieur ne sont pas impactées sauf si votre déploiement a été fait sur une version de Windows antérieure à Windows Server 2008 R2. Pour ArcGIS Enterprise, tous les détails se trouvent ici:
https://support.esri.com/en/technical-article/000019294
N'hésitez pas à contacter le support technique d'Esri France si des doutes persistent.
Enregistrer un commentaire