TLS

From Documentation Mercanet
Jump to: navigation, search

Arrêt protocoles TLS 1.0 et 1.1

Comme indiqué dans nos précédentes communications, afin de répondre aux exigences de la norme PCI-DSS, nous vous rappelons que la date d’arrêt des protocoles TLS 1.0 et 1.1 est prévue le 10/04/2018 sur l’environnement de Production.
Afin d’éviter toute rupture de flux sur vos environnements de production, nous vous invitons à la bonne prise en compte du protocole sécuritaire TLS 1.2 et restons à votre écoute pour toute question.

IMPORTANT : Blocage des échanges avec Mercanet (transactions, échanges de fichiers, réponses automatiques, les appels de Web Service) si la mise à niveau du protocole TLS 1.2 n'est pas réalisée.

Navigateurs impactés

Dans la stratégie TLS de Mercanet, l’environnement technique de l’utilisateur internet, qu’il soit marchand ou le client final (internaute), joue un rôle essentiel.
En effet si TLS V1.0 et V1.1 sont interdits par le serveur, de nombreuses versions de navigateur ne fonctionneront plus, par exemple :

  • Internet Explorer :
  • - IE 10 et versions antérieures IMPACT
    Il est possible de passer à TLS V1.2 dans les réglages du menu « Outils » : « Options Internet », « Avancé »
    - IE Mobile : sous Windows Phone 8.0 et antérieurs IMPACT

  • Android OS browser : sous Android 4.4 KitKat (dernière version : 4.4.4 du 19/06/2014) et antérieurs. IMPACT
  • Safari : sous OS X 10.8 Mountain Lion (dernière version : 10.8.5 du 12/09/2013) et antérieurs. IMPACT
  • Google Chrome : sous Windows (7+), OS X (10.9+), Linux, Android (4.1+), iOS (9.0+), Chrome OS version 30-32 et antérieurs. IMPACT
  • Mozilla Firefox :
      Mozilla Firefox : sous Windows (7+), OS X (10.9+), Linux, Android (4.0.3+), iOS (9.0+) versions 24 et ESR24.0 et antérieurs. IMPACT

    Pour les versions 24, 25.0.0, 25.0.1, 26 ESR24.0-ESR24.1.0, ESR24.1.1, il est possible de passer à TLS V1.2 dans le paramétrage de Mozilla.
    L’exhaustivité et la complexité des compatibilités du parc de navigateurs peuvent être consultées à l’adresse suivante : https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_Browsers

    Dans ce paragraphe “Web browsers”, il faut voir en particulier la liste des navigateurs relative aux atténuations des attaques POODLE (mitigations against POODLE attack).

    Remarque : Dans les situations d’erreur, celle-ci est générée par le navigateur (IE, Firefox, Chrome, …) et non par le serveur Mercanet, avec un affichage souvent très technique (incompréhensible) et non personnalisable.
    C’est un obstacle non négligeable à une expérience utilisateur optimale, telle que requise par les clients Mercanet, au nom des utilisateurs finaux.

    Ci-dessous le lien vers la liste exhaustive des navigateurs WEB compatibles/incompatibles: https://caniuse.com/#search=tls1.2

    FAQ

    Qu'est-ce que TLS ?

    Transport Layer Security (TLS) est un protocole garantissant la confidentialité des communications entre les applications et leurs utilisateurs sur Internet. Lorsqu’un serveur et un client communiquent, TLS veille à ce qu’aucun tiers ne puisse écouter ou modifier les messages. TLS succède au protocole Secure Sockets Layer (SSL).

    Quel est l’échéancier ?

    En environnement de recette de Mercanet, cette bascule interviendra le 20 Mars 2018.

    BNP Paribas demande à tous les commerçants de mettre leur protocole de sécurité à niveau avant le 10 Avril 2018 en production.

    J’utilise Mercanet 1.0 ou Mercanet 2.0 . Suis-je impacté ?

    Si vous utilisez Mercanet 1.0, la page de paiement étant externalisée, pas d’impact côté commerçant. Si vous utilisez Mercanet 2.0, des appels sont fait en webservice (webinit) par le marchant via les connecteurs (SOAP, JSON) dans ce cas vous devez migrer votre application afin qu’elle implémente le TLS 1.2. •Exception : Pas d’impacts pour les clients Paypage 2.0 avec connecteurs POST .

    J’utilise Mercanet "Gestion Plus" 1.0 ou Mercanet 2.0 "serveur à serveur" : suis-je impacté ?

    Si vous utilisez Mercanet "Gestion Plus" 1.0. Les communications entrantes ne sont donc pas impactées.
    Si vous utilisez le 3DS ou le wallet via Mercanet "Gestion Plus" 1.0, vous devrez migrer votre application afin qu’elle implémente le TLS 1.2
    Si vous utilisez Mercanet 2.0, vous devez migrer votre application afin qu’elle implémente le TLS 1.2.

    J’utilise Back Office Mercanet : suis-je impacté ?

    Si vous utilisez Back Office Mercanet, vous devez mettre à jour votre navigateur afin qu’il implémente le TLS 1.2 et pouvoir ainsi continuer à vous connecter avec votre USER habituel.

    J’utilise le module Fraude 2.0 MEX (Lutte contre la Fraude/ Paramètre contrat): suis-je impacté ?

    Si vous utilisez le module de fraud 2.0 via l’application MEX, vous devez migrer votre application afin qu’elle implémente le TLS 1.2 pour pouvoir continuer à paramétrer vous-même votre profil ou le mettre à jour.

    J’utilise les réponses automatiques et manuelles : suis-je impacté ?

    Si vous utilisez les réponses automatiques sur du https (URL de réponse auto et réponse manuelle configurée en https) alors vous devez migrer vers un serveur d’application compatible TLS1.2.

    Où puis-je trouver de plus amples informations ?

    De plus amples informations sont disponibles dans les publications officielles suivantes :
    Mise à jour importante du PCI Security Standards Council concernant la prorogation des délais https://www.pcisecuritystandards.org/pdfs/Migrating_from_SSL_and_Early_TLS_-v12.pdf
    PCI DSS version 3.1 - https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf
    PCI DSS version 3.1 Résumé des changements https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1_Summary_of_Changes.pdf
    PCI DSS version 3.1 Informations complémentaires https://www.pcisecuritystandards.org/documents/Migrating_from_SSL_Early_TLS_Information_Supplement_v1.pdf
    Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (National Institute of Standards and Technology) http://www.nist.gov/manuscript-publication-search.cfm?pub_id=915295

    Que se passe-t-il si le navigateur web du titulaire de la carte utilise encore TLS 1.0 ou 1.1 ?

    Si le titulaire de la carte utilise un navigateur web obsolète, basé sur TLS 1.0 ou 1.1 , la page de paiement ne sera pas affichée. Il y aura un avertissement généré par le navigateur Web.

    Existe-t-il des ressources externes disponibles pour évaluer ma mise en oeuvre actuelle de TLS ?

    Afin de tester votre compatibilité navigateur, vous pouvez utiliser des outils externes tels que : https://www.howsmyssl.com.

    Que se passe-t-il si mes protocoles de sécurité ne sont pas à jour ?

    Le PCI Council demande aux prestataires de services de paiement de refuser les protocoles qui ne sont plus considérés comme sécurisés. Cela signifie que les échanges à l’aide du protocole TLS 1.0 et 1.1 ne seront plus considérés comme sécurisés par nos moteurs de paiement et échoueront.

    Mes clients sont-ils impactés par ce changement ?

    Si le titulaire de la carte utilise un navigateur ou un appareil qui ne prend pas en charge le protocole de sécurité TLS 1.2, la page de paiement ne s’affichera pas. Il recevra un avertissement du navigateur Web.
    En tant que commerçant, vous pourriez minimiser le risque de perte de transactions en conseillant à vos utilisateurs de mettre leurs navigateurs à niveau.
    La page Wikipedia sur le protocole TLS fournit un panorama global et complet des protocoles de sécurité pris en charge par les différents appareils et versions de navigateur. https://en.wikipedia.org/wiki/Transport_Layer_Security

    J’utilise le transfert de fichier offline : suis-je impacté ?

    Selon le protocole de connexion il existe un impact. Les protocoles concernés sont les connexions en PeSIT-HS_SSL; FTP_SSL Serveur; FTP_SSL Client.
    En revanche pas d’impact pour les sFTP (SSH/FTP)

    Comment tester si mon serveur est à jour avec les normes de sécurité TLS 1.2 ?

    Pour savoir si votre serveur est compatible avec le protocole TLS v1.2, veuillez [cliquer sur ce lien] et renseigner l’URL de votre site puis cliquer sur le bouton « Submit » pour obtenir un rapport de compatibilité de votre serveur.
    Après avoir attendu quelques minutes, le rapport d'analyse final s'affiche et il faut regarder le 4ème panneau nommé "Configuration" pour connaitre la compatibilité de votre serveur avec les protocoles TLS :
    Compatibilite TLS.PNG
    Comme indiqué dans l'exemple ci-dessus, si la compatibilité de votre serveur indique "Yes" pour la ligne "TLS 1.2" (surlignée en jaune), alors votre serveur est compatible avec la norme TLS 1.2.

    Comment mettre à jour mon serveur avec TLS 1.2

    Pour accepter le nouveau protocole de sécurité TLS 1.2 sur votre site marchand, vous devez prendre contact avec votre Webmaster ou ingénieur système pour qu'il modifie la configuration de votre serveur Web.
    Voici quelques pages d'aides sur ce sujet pour vous aider à démarrer en fonction du type de serveur Web dont vous disposez :

    Dois-je supprimer les anciens protocoles sécuritaires ?

    Les anciens protocoles sécuritaires antérieurs à TLS 1.2 (SSL v3, TLS 1.0, TLS 1.1) peuvent être désactivés à partir du 10 Avril puisqu'ils ne seront plus utilisés par les serveurs de Mercanet.