Update: Außerbetriebnahme von TLS v1.0 und v1.1 - Rackspace-Kundenidentitäts-API-Endpunkt

Am 21. September 2023 hat Rackspace die Stilllegung der TLS-Versionen vor 1.2 am Endpunkt der Kundenidentitäts-API erfolgreich abgeschlossen: identity.api.rackspacecloud.com. 

Wir haben diese Änderung als Teil einer Gesamtstrategie zur Modernisierung aller Rackspace-Systeme auf TLS 1.3 vorgenommen. Aufgrund der sich entwickelnden gesetzlichen Anforderungen und der Sicherheitslücken in früheren TLS-Versionen haben wir alle Versionen vor TLS 1.2 auslaufen lassen. Alle verbindenden Systeme müssen jetzt mindestens TLS Version 1.2 unterstützen, um sich mit Rackspace Customer Identity zu verbinden. 

Wie immer stehen Ihnen unsere Support-Racker zur Seite, falls Sie Schwierigkeiten haben sollten. 

Was ist TLS?

Transport Layer Security (TLS) ist ein Sicherheitsprotokoll zum Aufbau verschlüsselter Kommunikationskanäle über Computernetzwerke, das fast den gesamten Internetverkehr schützt. Ältere Versionen dieses Protokolls (vor 1.2) sind anfällig für Angriffe, die über das Netz gesendete Daten gefährden könnten. 

Rackspace empfiehlt seinen Kunden, alle TLS-Unterstützung vor Version 1.2 vollständig aus ihren Umgebungen zu entfernen und den Wechsel zu TLS 1.3 zu planen. Für die Zwecke dieses Updates müssen Kunden jedoch mindestens sicherstellen, dass alle Systeme oder Software, die eine Verbindung zur Rackspace-Kundenidentität herstellen, mindestens TLS 1.2 unterstützen. 

Welcher Endpunkt ist betroffen?

Identität.api.rackspacecloud.com (und Unterdomänen)

Wie kann Rackspace Technology helfen?

Unsere Ingenieure sind zwar nicht in der Lage, individuelle Kundenkonfigurationen direkt zu unterstützen, aber wir können Hinweise zu allgemeinen Best Practices der Branche geben. Das erforderliche TLS 1.2-Upgrade wird vor allem Kunden betreffen, die von ihrem Middleware Application Stack aus eine programmatische Verbindung zur API herstellen. Die für ein Upgrade auf TLS 1.2-Kompatibilität erforderlichen Änderungen müssen von den Anwendungstechnikern des Kunden vorgenommen werden. Da TLS 1.2 im Jahr 2008 standardisiert wurde, sind viele Systeme, die den üblichen Patching-Richtlinien folgen, wahrscheinlich bereits auf dem neuesten Stand und nicht von diesem Problem betroffen. Dennoch haben wir im Folgenden zusätzliche Ressourcen für einige Systeme aufgeführt, die möglicherweise aktualisiert werden müssen, um dieser aktualisierten Norm zu entsprechen. 

Zusätzliche Ressourcen

Microsoft

Die Techniker erwarten keine Probleme für Kunden, die Technologien neueren Datums als 2017 verwenden und über aktuelle Patches verfügen. Betrachten Sie das Folgende als minimal kompatible System-Basislinien:

• .NET Framework: Version 4.6.2 ist die Basisversion, die TLS 1.2 unterstützt (Stand: August 2016). Hinweis: Einige frühere Varianten scheinen nicht aktiv unterstützt zu werden. So können z. B. 4.5.1 und 4.5.2 TLS 1.2 unterstützen, wenn bestimmte KBs (Patches) installiert sind. 
• Microsoft SQL Server 2016 und höher unterstützt TLS 1.2. Ältere SQL-Clients benötigen möglicherweise spezielle KBs (die wahrscheinlich in Patching-Rollups enthalten waren), um geladen zu werden. 
• Microsoft Windows Server 2012 und 2012 R2 unterstützen TLS 1.2 mit spezifischen KBs, die im Juni 2017 veröffentlicht wurden. Wenn Sie seither einen Patch durchgeführt haben, war das Update wahrscheinlich in den spezifizierten Updates oder in den Patching Rollups enthalten. 
• Microsoft Windows Server 2016, 2019 und 2022: alle unterstützen TLS 1.2
• Azure: sollte aufgrund der Verwendung neuerer Technologie nicht beeinträchtigt werden. Zwar gibt es in Azure potenzielle Hürden, doch sind diese unwahrscheinlich und leicht zu beheben (z. B. durch ein Upgrade des verwendeten .NET Framework). Hinweis: Client-VMs auf Azure müssen ebenfalls auf dem neuesten Stand sein.   

Linux

Die Hosts sind in der Regel auf dem neuesten Stand, wenn sie über aktuelle Patches verfügen, da sie alle die systemweiten OpenSSL/GnuTLS-Bibliotheken verwenden. Wenn nicht, ist die allgemeine Lösung "OpenSSL- und/oder GnuTLS-Pakete aktualisieren". Wenn die Gesamtversion der Distribution nicht neu genug ist, um aktuelle Pakete zu haben, aktualisieren Sie auch diese. Unter der Voraussetzung, dass die Softwareversion aktuell genug ist, kann die Lösung eine gewisse Konfiguration erfordern (z. B. ist die Unterstützung für TLS 1.2 zwar vorhanden, aber deaktiviert). 

Wenn ein firmeninternes Paket oder ein Paket eines Drittanbieters TLS unter Verwendung seiner eigenen Bibliotheken (oder einer maßgeschneiderten Installation in einem eigenen Verzeichnis usw.) einsetzt, sollte das für dieses Paket zuständige Team mit weiteren Untersuchungen beauftragt werden. 

Das Online-SSL-Konfigurationsprogramm von Mozilla (https://ssl-config.mozilla.org/) kann bei den Konfigurationseinstellungen helfen. Obwohl es von Mozilla gepflegt wird, ist das Tool für viele Softwarepakete anwendbar, nicht nur für Firefox.