Se avete un server traveler e volete che i client siano in grado di funzionare dopo 1 gennaio 2017 dovete assicurarvi che il vostro server, o gli eventuali reverse proxy che lo pubblicano rispettino le seguenti specifiche di sicurezza:
- traveler deve funzionare in https
- il certificato ssl deve essere valido e non scaduto
- il CN o il SAN del certificato devono contenere l'hostname a cui si collegano i client o il certificato deve essere un wildcard dello stesso dominio
- la connessione deve essere TLS 1.2 (questo significa che dispositivi più vecchi di Android 4.1 NON saranno piu supportati
- il certificato del server deve essere trusted per il dispositivo e questo deve anche conoscere o avere installato la CA che ha rilasciato il certificato
- La negoziazione TLS deve supportare almeno forward secrecy ed essere una delle seguenti TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- Il leaf certificate del vostro server deve essere firmato in RSA a 2048bit oppure ECC/ECDSA a 256 bit
- Il leaf certificate del vostro server deve essere almeno SHA-2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
A questa pagina trovate la technote di IBM con indicate alcune verifiche che potete effettuare per verificare la situazione.
Nessun commento:
Posta un commento