Nota técnica sobre como lidar com suporte TLS com UCCX

Introdução

Este documento descreve como o Cisco Unified Contact Center Express (UCCX) usa o Transport Layer Security (TLS) para diferentes tipos de integração com aplicativos de terceiros. Essas integrações podem ser onde o UCCX funciona como um cliente ou onde o UCCX funciona como um servidor. 

Contribuição de Abhiram Kramadhati, Cisco Engineering.

O UCCX funciona como um servidor

Quando o UCCX funciona como um servidor e o participante remoto se comunica usando TLS 1.0, 1.1 ou 1.2, o UCCX é capaz de se comunicar com base nas versões de TLS compatíveis com a versão do Unified CCX:

1. Unified CCX 10.6 - TLS 1.0, 1.1 e 1.2
2. Unified CCX 11.x - TLS 1.0, 1.1 e 1.2

São integrações em que os serviços de API do sistema Unified CCX são utilizados por um aplicativo de terceiros. 

O UCCX funciona como um cliente

Quando o UCCX funciona como um cliente, ele solicita que um servidor de terceiros chame um serviço ou obtém informações. Um exemplo comum, neste caso, é a integração com um sistema Salesforce para integração de CRM. As solicitações podem ser de:

1. Script do Unified CCX
2. Fluxos de trabalho do Finesse
3. Gadgets Finesse

Nas versões 10.x, 11.0(1) e 11.5(1) do UCCX, quando o Unified CCX chama essa solicitação, ele usa o TLS 1.0 por padrão.O servidor de terceiros deve ser capaz de se comunicar usando o TLS 1.0, caso contrário, a comunicação falhará.

O suporte a TLS 1.0 está sendo substituído

O suporte para TLS 1.0 foi preterido por muitos provedores de aplicativos.A comunicação sobre TLS 1.0 (e até mesmo a disponibilidade de TLS 1.0) é considerada uma vulnerabilidade por muitas organizações. 

O anúncio mais recente a esse respeito foi da Salesforce: https://help.salesforce.com/articleView?id=000221207&type=1. Isso é relevante para clientes do UCCX que têm o UCCX integrado à Salesforce. Em 17 de fevereiro de 2017, a Salesforce anunciou que irá remover o suporte para TLS 1.0:

Novas implantações: TLS 1.0 desativado por padrão

Ambientes de sandbox/sistemas de desenvolvedores: O TLS 1.0 foi desativado após 25 de junho de 2016, às 9h30 (UTC 16h30)

Sistemas de produção: TLS 1.0 desativado após 22 de julho de 2017

Isso significa que as soluções UCCX que invocam solicitações da Web para sistemas Salesforce usando TLS 1.0 não publicam essas datas.

Note: A mesma lógica aplica-se a qualquer integração deste tipo. A Salesforce é um desses fornecedores que fez um anúncio a esse respeito.

Próximas etapas

Se houver integrações que usam TLS, a tabela abaixo representará as versões do Unified CCX que fornecem suporte TLS 1.1 e 1.2 para integrações do Unified CCX quando o Unified CCX for o cliente (integração Salesforce) e também a remoção completa do TLS 1.0 do Unified CCX. 

Os clientes devem planejar a atualização para as versões mencionadas abaixo que fornecem o suporte TLS necessário para seu ambiente. Não há especiais de engenharia disponíveis para o mesmo produto.

Versão atual do cliente	Versão de destino para suporte TLS 1.1, 1.2 quando o UCCX for cliente	Versão de destino para remoção TLS 1.0 do UCCX
10.0	10.6(1)SU3	11.5(1)SU1
10.5	10.6(1)SU3	11.5(1)SU1
10.6	10.6(1)SU3	11.5(1)SU1
11.0	11.5(1)SU1	11.5(1)SU1
11.5	11.5(1)SU1	11.5(1)SU1

O ETA para as versões acima ainda não foi confirmado, mas está antes do prazo final da Salesforce. Eles são publicados na página cisco.com Download de software.

Matriz de suporte TLS

Suporte atual

Versão da solução UCCX	Versões TLS quando o UCCX estiver funcionando como servidor	Versões TLS quando o UCCX estiver funcionando como cliente
10.6(1)SU2	1.0, 1.1, 1.2	1.0
11.0(1)	1.0, 1.1, 1.2	1.0
11.0(1)SU1	1.0, 1.1, 1.2	1.0
11.5(1)	1.0, 1.1, 1.2	1.0

Próximas versões

Versão da solução UCCX	Versões TLS quando o UCCX estiver funcionando como servidor	Versões TLS quando o UCCX estiver funcionando como cliente
10.6(1)SU3	1.0, 1.1, 1.2	1.1, 1.2*
11.5(1)SU1	1.1, 1.2#	1.1, 1.2*
11.6(1)	1.2	1.2

* padrão

^# veja a observação sobre o SocialMiner aqui

Suporte a SocialMiner e TLS

O SocialMiner tem essas alterações além da matriz de suporte mencionada acima:

11.5(1)SU1

A 11.5(1)SU1 ainda oferece suporte ao Exchange 2010. Como o Exchange 2010 oferece suporte SOMENTE ao TLS 1.0, o SocialMiner não removerá o TLS 1.0. No entanto, para garantir que a segurança não seja comprometida, todas as conexões de entrada não oferecerão suporte ao TLS 1.0 e apenas a conexão de saída terá o TLS 1.0, se o servidor de terceiros puder se comunicar apenas no TLS 1.0. Caso contrário, as conexões funcionarão no TLS 1.1 e 1.2

11.6

O SocialMiner 11.6 removeu o TLS 1.0. Se o cliente usa o Exchange 2013, por padrão o Exchange 2013 usa TLS 1.0 e todas as campanhas de email falham, pois o SocialMiner não oferece suporte ao TLS 1.0. Portanto, o cliente deve habilitar o TLS 1.1/1,2 no Exchange 2013 para que possa continuar a trabalhar com o 11.6. Isso também é documentado nas notas de versão e na comunicação de pré-lançamento do 11.6.

FAQ

Como obter o suporte TLS necessário para a solução?

Você deve atualizar para as versões conforme listado na tabela acima. Não há nenhum Especial de engenharia separado ou um arquivo de cópia.

Se o Salesforce remover o suporte ao TLS 1.0 e eu estiver em uma versão que suporta apenas o TLS 1.0 para solicitações de clientes, a solicitação ao sistema Salesforce falhará?

Yes. Na verdade, qualquer servidor que não suporte TLS 1.0 não funcionará com UCCX se o UCCX estiver enviando solicitações somente em TLS 1.0 e isso é verdadeiro para as versões 10.6(1)SU2, 11.0(1), 11.0(1)SU1, 11.5(1).

O suporte a TLS 1.0 disponível é um risco à segurança. Posso remover o TLS 1.0 completamente da minha solução UCCX?

Sim, o UCCX 11.5(1)SU1 em diante tem o TLS 1.0 completamente removido para conexões HTTPS externas.

Todas as conexões de/para o UCCX são aplicáveis às alterações de TLS mencionadas acima?

Essas atualizações são apenas para conexões HTTPS. As conexões JDBC ainda podem operar em TLS 1.0.

Como obter documentação e enviar uma solicitação de serviço

Para obter informações sobre como obter documentação, usar o Cisco Bug Search Tool (BST), enviar uma solicitação de serviço e coletar informações adicionais, consulte What’s New in Cisco Product Documentation em:  http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html.

Assine as Novidades na documentação de produtos da Cisco, que lista toda a documentação técnica nova e revisada da Cisco como um feed RSS, e forneça o conteúdo diretamente na área de trabalho usando um aplicativo de leitor. Os feeds RSS são um serviço gratuito.

AS ESPECIFICAÇÕES E INFORMAÇÕES COM RELAÇÃO AOS PRODUTOS DESTE MANUAL ESTÃO SUJEITAS A ALTERAÇÕES SEM PRÉVIO AVISO. ACREDITA-SE QUE TODAS AS DECLARAÇÕES, INFORMAÇÕES E RECOMENDAÇÕES DESCRITAS NESTE MANUAL SEJAM VERDADEIRAS, MAS ELAS ESTÃO SENDO AQUI APRESENTADAS SEM GARANTIAS DE NENHUM TIPO, SEJAM EXPRESSAS OU IMPLÍCITAS. OS USUÁRIOS SÃO TOTALMENTE RESPONSÁVEIS PELA APLICAÇÃO DE QUALQUER UM DESTES PRODUTOS.

A LICENÇA DE SOFTWARE E A GARANTIA LIMITADA QUE ACOMPANHAM O PRODUTO ESTÃO DEFINIDAS NO PACOTE DE INFORMAÇÕES ENVIADO COM O PRODUTO, SENDO AQUI INCORPORADAS ATRAVÉS DESTA MENÇÃO. SE VOCÊ NÃO CONSEGUIR LOCALIZAR A LICENÇA DE SOFTWARE OU A GARANTIA LIMITADA, ENTRE EM CONTATO COM O REPRESENTANTE DA CISCO PARA SOLICITAR UMA CÓPIA.

A implementação da compactação de cabeçalho TCP pela Cisco é uma adaptação de um programa desenvolvido pela Universidade da Califórnia, Berkeley (UCB), como parte de uma versão de domínio público da UCB do sistema operacional UNIX. Todos os direitos reservados. Copyright © 1981, Membros da Universidade da Califórnia.

INDEPENDENTEMENTE DE QUALQUER OUTRA GARANTIA AQUI INCORPORADA, TODOS OS ARQUIVOS DE DOCUMENTOS E SOFTWARES DESSES FORNECEDORES SÃO FORNECIDOS "NO ESTADO EM QUE SE ENCONTRAM", COM TODAS AS FALHAS. A CISCO E OS FORNECEDORES ACIMA MENCIONADOS SE ISENTAM DE TODAS AS GARANTIAS, EXPRESSAS OU IMPLÍCITAS, INCLUSIVE, SEM LIMITAÇÃO, AS GARANTIAS DE COMERCIABILIDADE, ADEQUAÇÃO A UM DETERMINADO OBJETIVO E NÃO VIOLAÇÃO OU ORIUNDAS DE UM CURSO DE NEGOCIAÇÃO, USO OU PRÁTICA COMERCIAL.

EM HIPÓTESE ALGUMA, A CISCO OU SEUS FORNECEDORES SE RESPONSABILIZARÃO POR DANOS INDIRETOS, ESPECIAIS OU INCIDENTAIS, INCLUINDO, SEM LIMITAÇÃO, LUCROS CESSANTES, PERDA OU DANOS AOS DADOS DECORRENTES DO USO OU DA INABILIDADE DE USO DESTE MANUAL, MESMO QUE A CISCO OU SEUS FORNECEDORES TENHAM SIDO AVISADOS SOBRE A POSSIBILIDADE DE TAIS DANOS.

Os endereços IP (Internet Protocol) e números de telefone usados neste documento não pretendem ser endereços e números de telefone reais. Os exemplos, as saídas de exibição de comandos, os diagramas de topologias de rede e as figuras incluídas no documento são mostrados somente para fins ilustrativos. O uso de endereços IP ou números de telefone reais no conteúdo ilustrativo não é intencional e deve ser considerado uma coincidência.

Todas as cópias impressas e as duplicatas digitais são consideradas cópias sobre as quais não temos controle, e o documento original online deve ser consultado para acesso à versão mais recente.

A Cisco possui mais de 200 escritórios no mundo todo. Os endereços, números de telefone e de fax estão disponíveis no site da Cisco www.cisco.com/go/offices.

Cisco e o logotipo da Cisco são marcas comerciais ou marcas comerciais registradas da Cisco e/ou de suas afiliadas nos EUA e em outros países. Para consultar uma lista de marcas comerciais da Cisco, acesse: www.cisco.com/go/trademarks. Todas as marcas comerciais de terceiros citadas pertencem a seus respectivos detentores. O uso do termo "parceiro" não implica uma relação de sociedade entre a Cisco e qualquer outra empresa. (1110R)

© 2016 Cisco Systems, Inc. Todos os direitos reservados.