Mudanças de TLS em beta.registro.br e epp.registro.br

[rubensk]

 [ English version below ]

Desde a manutenção do ambiente de testes em 07/08/2023, o serviço EPP
deste ambiente não suporta mais SSLv3, TLSv1 e TLSv1.1, sendo
necessário que clientes utilizem TLSv1.2 ou TLSv1.3 em suas conexões,
conforme recomendação do IETF [1].

Esta mesma atualização será aplicada nos servidores de produção em
04/09/2023. Certifique-se de verificar se seu software está apto a
realizar conexões ao serviço EPP em TLSv1.2 ou TLSv1.3 até esta data.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Dear Registrar,

Since maintenance of the testing environment on Aug/07/2023, the EPP
service of this environment does not support SSLv3, TLSv1, and TLSv1.1
anymore, requiring customers to use TLSv1.2 or TLSv1.3 in their
connections, as recommended by the IETF [1].

This same update will be applied to the production servers in
Sep/04/2023. Be sure to check that your software is capable of making
connections to the EPP service over TLSv1.2 or TLSv1.3 by this date.

[1] https://www.rfc-editor.org/rfc/rfc8996

[Pablo Si]

Como faço para checar qual conexão TLS meu server tá usando? 

[rubensk]

8 minutos atrás, Pablo Si disse:

Como faço para checar qual conexão TLS meu server tá usando? 

openssl s_client -connect epp.registro.br:700 -cert <certificado>

[Pablo Si]

Em 08/08/2023 em 21:44, rubensk disse:

openssl s_client -connect epp.registro.br:700 -cert <certificado>

SSL-Session:
    Protocol  : TLSv1.2
 

Essa versão tá de boa , né?

[rubensk]

1 hora atrás, Pablo Si disse:

SSL-Session:
    Protocol  : TLSv1.2
 

Essa versão tá de boa , né?

Sim, essa versão está de boa. Algo que poderia haver dúvida é de se os ciphers em uso são bons... mas fizemos levantamento de ciphers usados em TLSv1.2 e só um provedor EPP (que não é a SuperDominios) usava um cipher que não era preferido. Então se vocês já usavam v1.2 estão bem de boa. 

O que vale olhar é que o motivo desse upgrade do nosso lado foi mudar para biblioteca OpenSSL 3.x, pq a 2.x vai entrar em end-of-life. Então vale olhar isso... só que as dependências para migrar versão de biblioteca usada por praticamente tudo são grandes, então não é um upgrade a ser feito "vida loka".