Версия TLS в URL-адресе REST API
Я попытался открыть заявку в службу поддержки Docusign, но вместо этого они прислали мне этот адрес. Я надеюсь, что кто-нибудь сможет помочь с этим.
Начиная с 16 ноября, примерно в 12:30 по центральному времени, мы начали получать ошибки в журналах наших приложений в непроизводственной среде. После расследования выяснилось, что https://demo.docusign.net/restapi начал отвечать на запросы TLSv1 следующим образом:
{
"errorCode": "TLS_INVALID_VERSION",
"message": "TLS Version is invalid, please update to TLS1.2 TLSv1.2 is
required. Currently using TLSv1"
}
Это стало неожиданностью для нас, учитывая, что Docusign должен был отключить TLSv1 в своей непроизводственной среде много месяцев назад. Тогда мы протестировали наше приложение по указанному выше URL (после предполагаемого переключения), и все работало с нашим приложением, поэтому мы предположили, что производство будет продолжать работать, когда предполагалось переключение. Так оно и было.
Проблема в том, что оказывается, что Docusign, похоже, не отключил TLSv1, когда они сказали, что должны были, что сделало недействительным любое тестирование, которое мы проводили ранее. И теперь мы рискуем, что наша производственная среда выйдет из строя в какой-то неизвестный момент в будущем.
Итак, кто-нибудь знает, когда Docusign переключит производственную среду, чтобы отключить TLSv1? Мы изучаем возможность обновления библиотек в приложении, чтобы они поддерживали как минимум TLS 1.1, но это может занять некоторое время, и это критическая проблема для нас.
Хью
p.s. Кстати, на сайте говорится, что требуется TLS v1.2, но он по-прежнему отвечает на TLS v1.1.
Да, мы планируем настроить прокси, если мы не сможем исправить приложение до того, как производственная среда будет переключена. Однако нам нужно знать, когда произойдет переключение, чтобы мы могли это спланировать. И да, вот почему мне показалось странным, что служба поддержки Docusign послала нас сюда, но они говорят, что разработчики Docusign должны часто посещать эти части и смогут нам помочь.
Ответы 3
Я работаю в DocuSign.
На момент написания этой статьи DocuSign не планирует прекращать поддержку TLS 1.1. Мы уже поддерживаем TLS 1.2 и рекомендуем вам перейти на него, а не на TLS 1.1. Но TLS 1.1 подойдет, если это все, что ваш стек в настоящее время поддерживает.
Обратите внимание, что официально объявленная дата прекращения поддержки TLS 1.0 - 25.06.2018. Однако у нас был льготный период. Теперь приближаются даты жесткого блока. Дата жесткой блокировки в PROD установлена на 31.01.2019. Как вы заметили, в Demo это 11/16.
Ларри / Джоуи, большое спасибо за ваши ответы. Чтобы уточнить, приложение, по-видимому, поддерживает только TLS v1, но на сайте REST API, указанном выше, говорится, что оно поддерживает только TLS v1.2, даже если оно будет отвечать на соединение TLS v1.1, которое я устанавливаю с помощью curl. Почему дата прекращения поддержки так далека от сообщений, отправленных ранее в этом году? Это в частности - support.docusign.com/en/articles/… Спасибо,
Предыдущая объявленная дата была нашей предполагаемой датой прекращения поддержки. Однако если клиенты не уходили, это было мягкое свидание. С тех пор мы усердно работаем с клиентами, которые все еще используют TLS 1.0, чтобы избавиться от них. Даты, которые я опубликовал выше, являются твердыми датами (я собираюсь отредактировать ответ, включив это). Также да, TLS 1.1 по-прежнему будет поддерживаться, но рекомендуется перейти на 1.2.
Тогда почему об этом не сообщили покупателям? Я видел исходное уведомление об устаревании, но ничего (насколько я помню) о том, что это «мягкая дата», и определенно ничего о новых датах 2018-11-16 / 2019-01-31. И если Docusign связывался с моей компанией по поводу того, что мы все еще используем TLS v1, мне это не дошло.
Привет, Хью, мы просим вас прояснить ситуацию. Приносим свои извинения за путаницу, это хороший отзыв о том, как справляться с такими типами общения в будущем.
Добавьте эту строку перед вызовом REST API
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12; Он будет работать нормально.
"Кто-нибудь знает, когда Docusign переключит производственную среду, чтобы отключить TLSv1?" Я не понимаю, как кто-либо, кроме самого DocuSign, может ответить на это. Что касается проблемы с обновлением вашей библиотеки, вы можете вместо этого установить прокси, такой как Haproxy или nginx. Это будет клиент TLS 1.2 для сервера DocuSign, в то время как ваше локальное приложение будет клиентом TLS 1.1 или 1.0 для прокси-сервера, если вы согласны с тем, что прокси завершает соединения.