mercoledì 12 ottobre 2016

IBM Traveler , azioni richieste al 1 Gennaio 2017

IBM ha comunicato che dal 1 Gennaio 2017 saranno imposte alcune policy di sicrezza aggiuntive nell'app di IBM Verse mobile per garantirne il funzionamento cloud e locale.

Se avete un server traveler e volete che i client siano in grado di funzionare dopo 1 gennaio 2017 dovete assicurarvi che il vostro server, o gli eventuali reverse proxy che lo pubblicano rispettino le seguenti specifiche di sicurezza:



  1. traveler deve funzionare in https
  2. il certificato ssl deve essere valido e non scaduto
  3. il CN o il SAN  del certificato  devono contenere l'hostname a cui si collegano i client o il certificato deve essere un wildcard dello stesso dominio
  4. la connessione deve essere TLS 1.2 (questo significa che dispositivi più vecchi di Android 4.1 NON saranno piu supportati
  5. il certificato del server deve essere trusted per il dispositivo e questo deve anche conoscere o avere installato la CA che ha rilasciato il certificato
  6. La negoziazione TLS deve supportare almeno forward secrecy ed essere una delle seguenti
  7. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     
  8. Il leaf certificate del vostro server deve essere firmato in RSA a 2048bit oppure ECC/ECDSA a 256 bit
  9. Il leaf certificate del vostro server deve essere almeno SHA-2

Dal mio punto di vista si tratta di richieste assoluamente ragionevoli ma se durante l'ultimo anno  non siete stati attenti negli aggiornamenti di Domino/Traveler o nella generazione dei vostri certificati SSL vi suggerisco di fare un check up per tempo delle vostre infrastrutture (ad esempio Domino se è esposto direttamente deve essere almeno 9.0.1 FP5 ).


A questa pagina trovate la technote di IBM con indicate alcune verifiche che potete effettuare per verificare la situazione.

Nessun commento:

Posta un commento