Upgrade eindpunten naar ondersteuning van TLS 1.2 voor Umbrella Services
Inhoud
Inleiding
In dit document wordt beschreven hoe u eindpunten en toepassingen kunt voorbereiden voor overkoepelende services waarvoor TLS 1.2 vereist is.
Overzicht van TLS 1.2-vereisten
Vanaf 31 maart 2020 worden Transport Layer Security (TLS) 1.0 en 1.1 niet langer ondersteund door Umbrella-servers en -services. Alle eindpunten moeten TLS 1.2 ondersteunen om goed te kunnen functioneren met Umbrella.
Updates voor TLS 1.0/1.1-ondersteuning
- Met uitzondering van AnyConnect, de Umbrella Roaming Client en de AD Connector, beëindigde Umbrella de ondersteuning voor TLS 1.0/1.1 in maart 2020.
- Vanwege backend-afhankelijkheden bleven bepaalde dashboard- en API-services TLS 1.0 / 1.1-verbindingen accepteren tot 27 januari 2021. Na deze datum accepteren deze services geen TLS 1.0/1.1-verbindingen meer.
- Apparaten die geen toegang hebben tot het dashboard of de API's moeten worden gecontroleerd op TLS 1.2-ondersteuning.
Bescherming voor AnyConnect- of roaming-clientapparaten
Umbrella verlengde de deadline tot 27 januari 2021 om de upgrade naar TLS 1.2 te voltooien. Er zijn geen verdere uitbreidingen. AnyConnect- en Roaming-clientapparaten die na 27 januari 2021 niet meer voldoen aan de TLS 1.2-vereisten, worden niet langer beschermd door Umbrella.
Ondersteuning voor beveiligde webgateway
- Umbrella ondersteunt geen HTTPS-verkeer met TLS 1.0 of 1.1 in het Secure Gateway-product.
- Voor 27 januari 2021 bood Secure Web Gateway alleen beperkte ondersteuning voor deze protocollen wanneer HTTPS-decodering was uitgeschakeld.
- Alle clientbesturingssystemen configureren om TLS 1.2 te ondersteunen.
- Upgrade of wijzig niet-browsertoepassingen indien nodig om de TLS 1.2-compatibiliteit te garanderen. Neem contact op met leveranciers van toepassingen voor advies.
Vereisten voor overkoepelende Active Directory-connector
Umbrella biedt geen ondersteuning voor Active Directory-connectors die zijn geïmplementeerd op Windows-besturingssystemen die het einde van hun levensduur hebben bereikt. AD-connectors die worden uitgevoerd op niet-ondersteunde Windows-versies (Windows Server 2008, 2008 R2 of Windows 7) stoppen met synchroniseren met Umbrella en voeren op 27 januari 2021 de foutstatus in.
Paraplu-agents: minimale versie-eisen
Windows Roaming Client of AnyConnect-module
- Cisco Umbrella roaming client: versie 2.2.356 of nieuwer
- Cisco AnyConnect met Umbrella-roamingmodule: versie 4.8.02042 of nieuwer
- Als u een oudere clientversie wilt gebruiken, configureert u TLS 1.2 via wijzigingen in het Windows-register (zie onderstaande stappen).
- Microsoft .NET Framework: versie 4.6.2 of nieuwer, of een gepatchte Windows 7 met .NET 3.5.1
(AnyConnect vereist .NET 4.x of nieuwer) - Ondersteunde Windows-versies: 7, 8, 8.1, 10
macOS Roaming Client of AnyConnect-module
- Elke versie van Umbrella Roaming Client of AnyConnect-roamingmodule ondersteunt TLS 1.2
- Ondersteunde macOS-versie: 10.9 of nieuwer
Aanvullende veelgestelde vragen
Wat gebeurt er als de eindpunten niet binnen de gestelde termijn worden bijgewerkt?
Eindpunten die niet kunnen onderhandelen over een TLS 1.2-verbinding hebben geen toegang tot Umbrella-systemen, waaronder het dashboard, intelligente proxyservices en blokpagina's.
Klanten die de Umbrella Roaming Module in AnyConnect, de Umbrella Enterprise Roaming Client of de Umbrella AD Connector gebruiken, kunnen geen verbinding maken met een Umbrella-service. Hierdoor synchroniseert de client de configuratie en status niet met het Umbrella-dashboard.
Bestaande roamingklanten stoppen met activeren en blijven onbeschermd bij de volgende servicestart. Nieuwe klanten die TLS 1.2 niet ondersteunen, kunnen zich niet registreren bij Umbrella. Deze clients zijn niet geopend; DNS blijft oplossen via de lokale netwerkstack, maar de beveiligingsservices voor roamingclients worden niet geactiveerd.
Apparaten die toegang proberen te krijgen tot geblokkeerde sites of die via de Intelligente proxy worden gerouteerd, kunnen geen verbinding maken. Apparaten die gebruikmaken van de roamingclient hebben geen toegang tot Umbrella-websites, blokkeringspagina's of proxyservices.
Werkt de registersleutel voor oudere versies?
Ja, voor AnyConnect. Blijf oudere versies gebruiken na het toepassen van de registerbewerking om de voorkeur te geven aan sterke crypto. Voorafgaand aan de vermelde minimumversies initieerde de roamende client HTTPS-verbindingen zonder expliciet TLS 1.2 strongcrypto op te geven. Als .NET TLS 1.2 ondersteunt, wordt het standaard gebruikt. De registersleutels dwingen .NET om sterke crypto te gebruiken, waardoor de updates in nieuwe clientversies worden gerepliceerd. Zelfstandige roamingclients die ouder zijn dan de laatste versie, worden niet ondersteund.
Kan ik alleen TLS 1.2 testen?
Ja. Schakel TLS 1.0 en TLS 1.1 uit in het Windows-register om te valideren dat apparaten volledig werken met alleen TLS 1.2.
Waarom TLS 1.0 en 1.1 afkeuren?
TLS 1.0 en 1.1 zijn verouderd en hebben geen ondersteuning voor moderne cryptografische algoritmen. Ze bevatten kwetsbaarheden die aanvallers kunnen misbruiken. De Internet Engineering Task Force is bezig met het afbreken van beide protocollen. Het meeste versleutelde internetverkeer maakt gebruik van TLS 1.2, dat meer dan tien jaar geleden werd geïntroduceerd.
Waarom is 31 maart 2020 geselecteerd?
De industrie is het afschrijven van TLS 1.0 en 1.1 in dit tijdsbestek. Google, Microsoft, Apple en Mozilla hebben allemaal aangekondigd dat hun browsers vanaf maart 2020 geen TLS 1.0 en 1.1 meer ondersteunen.
Kan dit invloed hebben op gebruikers met up-to-date apparaten?
Nee. De meeste websites ondersteunen TLS 1.2. Volgens Qualys SSL Labs ondersteunt 95,2 procent van de websites TLS 1.2. Verwacht dat dit aantal zal toenemen naarmate maart 2020 nadert. Een klein aantal websites kan niet functioneren, maar de algehele impact van de gebruiker is minimaal. Zorg ervoor dat up-to-date apparaten de juiste versie van .NET voor Windows-machines bevatten.
Is er na het bijwerken van een eindpunt voor TLS 1.2 verdere actie vereist om Umbrella-ondersteuning opnieuw in te schakelen?
In de meeste gevallen is geen verdere actie vereist. De klant herstelt de communicatie met Umbrella-systemen met behulp van het beveiligde TLS 1.2-protocol. Voor de Umbrella Enterprise Roaming Client of de Umbrella Roaming Client voor AnyConnect kan er vertraging optreden bij het herstel als het systeem offline was tijdens een update van de clientsoftware. De client moet updates downloaden voordat de service volledig is hersteld.
Hoe kan ik endpoint-ondersteuning voor TLS 1.2 bevestigen?
-
Ondersteuning voor Windows-webbrowser
- Toegang tot het Umbrella-dashboard en gerelateerde websites.
- Voer de SSL Labs Browser Test uit. Bevestig dat er een "Ja" verschijnt naast TLS 1.2 in de sectie Protocollen.
-
Ondersteuning voor Windows .NET Framework
- Van toepassing op Enterprise Roaming Client, AnyConnect-roamingmodule of AD-connector.
- .NET 4.6.2 of nieuwer biedt native TLS 1.2-ondersteuning.
- Eerdere versies vereisen registerbewerkingen (4.x) of registerbewerkingen en handmatige hotfix-patches (3.5).
- Deze informatie is van toepassing op Umbrella-software die wordt uitgevoerd op het .NET-framework, inclusief AD Connector en Roaming Client.
- Schakel SSL, TLS 1.0 en TLS 1.1 uit op het niveau van het besturingssysteem door de instructies van Microsoft in te vullen.
blobid0.png
-
Voor Apple Mac en andere systemen
- Voer de SSL Labs-browsertest uit. Bevestig dat er een "Ja" verschijnt naast TLS 1.2 in de sectie Protocollen.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
04-Sep-2025
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)