SSL et TLS sont deux protocoles de cryptographie qui permettant l’authentification et le chiffrement des données qui transitent entre des serveurs, des machines et des applications en réseau (notamment lorsqu’un client se connecte en "https" à un serveur Web). Le SSL est le prédécesseur du TLS. Au fil du temps, de nouvelles versions de ces protocoles ont vu le jour pour faire face aux vulnérabilités et prendre en charge des suites et des algorithmes de chiffrement toujours plus forts, toujours plus sécurisés. Depuis la découverte de la vulnérabilité POODLE en 2014, la version 3 de SSL en tant que protocole de sécurité a été remise en cause. Depuis 2014, Esri a adopté TSL 1.0 comme protocole par défaut et permet l'usage de TSL 1.1 et 1.2. Aujourd'hui, en 2018, les organismes de réglementation et de validation de conformité tels que la NIST, PCI ou FedRAMP ont déprécié le standard TLS 1.0 et, après un usage peu répandu du TLS 1.1, c'est désormais le protocole TLS 1.2 qui est la recommandation en vigueur. Une version 1.3 des spécifications de TSL a été validé en août 2018 mais son implémentation par les principales plateformes de Cloud (et par ArcGIS Online) est encore prématurée.
Pour assurer une sécurité maximum de sa plateforme Cloud, Esri a décidé tout d'abord en septembre 2018 d'obliger l'ensemble des connexions à ArcGIS Online à se faire en HTTPS. Dans un deuxième temps, Esri mettra prochainement à jour la plateforme ArcGIS Online pour n'autoriser que le protocole TLS 1.2. Cette évolution se fera dans la prochaine mise à jour d'ArcGIS Online (prévue dans la nuit du 4-5 décembre).
Je résume ci-dessous les enjeux liés à cette évolution. En complément, un document détaillé rédigé par Esri (en anglais) est téléchargeable ici.
Je résume ci-dessous les enjeux liés à cette évolution. En complément, un document détaillé rédigé par Esri (en anglais) est téléchargeable ici.
A la suite de la mise à jour de décembre d'ArcGIS Online, les connexions HTTPS entrantes ou sortantes aux ressources de votre organisation se faisant en TSL 1.0 ou 1.1 ne fonctionneront plus. Des actions sont nécessaires de la part de votre organisation pour mettre à jour certaines les applications clientes. Ces actions varient selon les applications et les versions:
- ArcMap, ArcGlobe, ArcScene, ArcCatalog - 10.6 et inférieure (patch et clé de registre)
- ArcScene, ArcCatalog - 10.6.1 et inférieure (clé de registre)
- Portal for ArcGIS - 10.3.1 et inférieure (mise à jour vers des version plus récentes)
- Operations Dashboard Windows App (clé de registre)
Si vous utilisez des versions anciennes de de navigateur anciennes, les connexions à ArcGIS Online ne seront plus possibles:
- Firefox version 5.0 et inférieure
- Internet Explorer 8-10 sur Windows 7 ou inférieure
- Internet Explorer 10 sur Win Phone 8.0
- Safari 6.0.4/OS X10.8.4 et inférieure
Si vous utilisez ces anciennes générations d'appareils mobiles, les connexions à ArcGIS Online ne seront plus possibles sans action de mise à jour:
- Android 4.3 et inférieure
- ArcPad sur Mobile/CE 6.5 et inférieure (voir le patch CE v.7 pour TLS 1.2 )
Si vous utiliser ces anciens SDK, frameworks ou OS, les connexions à ArcGIS Online ne seront plus possibles sans action de mise à jour:
- Oracle Java 1.6 et versions inférieures
- .NET 3.5 et versions inférieures
- Python 2.7.8 et versions inférieures
- OpenSSL 1.0.0 et versions inférieures
- Windows 2008 / Vista et versions inférieures
Pour les actions à mettre en place sur toutes les plateformes et applications évoquées ci-dessus il s'agira dans la plupart des cas d'installation de patchs système ou d'exécution de script modifiant la base de registre. Ce document PDF d'Esri traite chaque cas en détail.