2021-09-30 Retrait du protocole HTTP et des suites de chiffrement à faible sécurité

Nous introduisons deux changements visant à augmenter le niveau de sécurité des échanges de données avec nos plateformes Cantook Hub.

• Le premier changement est la fin de la prise en charge du protocole HTTP, faisant donc passer toutes les transmissions de données au protocole HTTPS. HTTPS est la version sécurisée du protocole HTTP, où toutes les données échangées entre le client et le serveur sont chiffrées.
• Le second changement est l'élimination des suites de chiffrement à faible sécurité de la liste des suites de chiffrement prises en charge, pour ne conserver que celles à plus haute sécurité.

Ces deux changements seront déployés sur toutes les plateformes Cantook Hub le 15 novembre 2021.

Mise en place de la politique de connexion par HTTPS obligatoire (HTTP Strict Transport Security - HSTS)

Toutes les interactions avec les plateformes Cantook Hub devront utiliser une connexion sécurisée (HTTPS). La plateforme redirigera automatiquement toute requête non sécurisée (HTTP) dans sa version sécurisée (HTTPS).

Fin de la prise en charge des suites de chiffrement à faible sécurité

Afin de garantir les plus hauts standards de sécurité, les seules suites de chiffrement acceptées par les plateformes Cantook Hub seront les suivantes: 

• ECDHE-ECDSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-ECDSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-ECDSA-CHACHA20-POLY1305
• ECDHE-RSA-CHACHA20-POLY1305
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES256-GCM-SHA384

Que dois-je faire?

Si vous interagissez avec Cantook Hub à l'aide d'un navigateur, vous n'avez rien à faire: les deux changements décrits ci-dessus sont automatiquement pris en charge par tous les navigateurs Web récents. 

Si vous avez des systèmes qui interagissent avec Cantook Hub par API, veuillez vous assurer, via vos intégrateurs, que le client HTTP utilisé prend bien en charge les deux changements tels que décrits ci-dessus.

Notez que les connexions HTTPS et les suites de chiffrement à haute sécurité listées plus haut sont déjà acceptées par les plateformes Cantook Hub. Vous pouvez donc les utiliser dès maintenant dans votre environnement de production ainsi que lors de vos tests. Les changements qui entreront en vigueur le 15 novembre 2021 sont le retrait de la prise en charge des suites de chiffrement à faible sécurité et du protocole HTTP, par l'application de l'instruction de renforcement de la connexion par HTTPS.

Une journée de test le 2 novembre 2021

Pour vous permettre de vérifier vos systèmes, nous déploierons les changements annoncés en production pour une période de test de 24 heures le 2 novembre 2021. Veuillez nous communiquer toute information en lien avec cette journée de test avant le 5 novembre 2021.

Des questions?

N'hésitez pas à contacter nos équipes d'assistance technique à aide@demarque.com pour toute question relative à cette annonce.