TLS-Versionen-Kompatibilität
Einführung
Die Harmony-Plattform unterstützt die Transport Layer Security (TLS) Verschlüsselung in den Versionen 1.3 und 1.2. Jitterbit bietet eine eingeschränkte Abwärtskompatibilität mit TLS 1.1 und TLS 1.0 für bestimmte Verbindungen zu Endpunkten, die eine ältere Protokollversion erfordern.
Wir empfehlen, wo möglich, TLS 1.3 mit Ihren Endpunkten zu verwenden, um Sicherheitsanfälligkeiten zu vermeiden. Darüber hinaus kann die Verwendung von TLS 1.3 erforderlich sein, um die Anforderungen einiger Endpunkte zu erfüllen.
Tipp
Für weitere Details, wie Jitterbit Informationssicherheit verwaltet, siehe das Jitterbit-Sicherheits- und Architektur-Whitepaper.
TLS-Unterstützung in Jitterbit Harmony
TLS 1.2 wird von allen derzeit unterstützten Jitterbit-Versionen unterstützt.
Wenn Sie eine ältere Version einer der unten aufgeführten Anwendungen haben, müssen Sie möglicherweise die Version aktualisieren, um TLS 1.3 verwenden zu können. Siehe Upgrade-Anweisungen:
- Private Agenten: Windows, Linux, oder Docker
- Private API-Gateways: Linux oder Docker
- Design Studio: Windows oder macOS
- Data Loader
Unterstützung für veraltete (unsichere) Neuverhandlungen
Ältere Versionen von TLS (vor RFC 5746) hatten eine Sicherheitsanfälligkeit, bei der ein Angreifer beliebige Daten in einen Neuverhandlungs-Handshake injizieren konnte, was zu potenziellen Man-in-the-Middle (MITM)-Angriffen führte.
Die TLS-Neuverhandlungsanfälligkeit (CVE-2009-3555) betrifft die folgenden Versionen von SSL/TLS:
| Verwundbare Versionen |
|---|
| SSL 3.0 |
| TLS 1.0 |
| TLS 1.1 |
| TLS 1.2 (wenn nicht mit RFC 5746 gepatcht) |
Diese Sicherheitsanfälligkeit betrifft nicht die folgenden sicheren Versionen, die von Jitterbit Harmony unterstützt werden:
| Sichere Versionen |
|---|
| TLS 1.2 (mit RFC 5746 Unterstützung) |
| TLS 1.3 |
Wenn Sie sich mit einem Endpunkt verbinden, der die Verwendung oder Unterstützung von veralteter (unsicherer) Neuverhandlung mit einer TLS-Verbindung zulässt, kann die Auswahl der TLS-Version als Konfigurationsoption in der Benutzeroberfläche des spezifischen Connectors, den Sie verwenden, verfügbar sein. Zum Beispiel bietet eine Integration Studio HTTP v2-Verbindung eine Auswahl in ihrer Konfiguration.
Wenn Sie einen privaten Agenten verwenden, können die folgenden Optionen konfiguriert werden, um die Verwendung älterer Protokolle zu ermöglichen:
- Eine private Agenten-Version 11.39 oder höher kann so konfiguriert werden, dass unsichere veraltete TLS-Neuverhandlungen während des Verbindungs-Handshakes mit dem Server erlaubt werden, indem
AllowUnsafeLegacyRenegotiationauftrueim[Settings]Abschnitt der Konfigurationsdateijitterbit.confdes privaten Agenten gesetzt wird. - Ein privater Agent kann so konfiguriert werden, dass er TLS 1.0 oder 1.1 für JDBC-Treiberverbindungen verwendet für Datenbankendpunkte, indem
TLSv1oderTLSv1.1aus der Sicherheits-Eigenschaftjdk.tls.disableAlgorithmsin der Konfigurationsdateijava.securitydes privaten Agenten entfernt wird.
Auf privaten API-Gateways kann TLS 1.1 konfiguriert werden, indem Jitterbit-Support kontaktiert wird.