Atualizar endpoints para oferecer suporte ao TLS 1.2 para Umbrella Services
Contents
Introdução
Este documento descreve como preparar terminais e aplicativos para serviços Umbrella que requerem TLS 1.2.
Visão geral dos requisitos do TLS 1.2
A partir de 31 de março de 2020, o Transport Layer Security (TLS) 1.0 e 1.1 não são mais suportados pelos servidores e serviços Umbrella. Todos os endpoints devem oferecer suporte ao TLS 1.2 para que funcionem corretamente com o Umbrella.
Atualizações para suporte a TLS 1.0/1.1
- Com exceção do AnyConnect, do cliente de roaming Umbrella e do conector AD, o Umbrella encerrou o suporte para TLS 1.0/1.1 em março de 2020.
- Devido às dependências de backend, certos serviços de painel e API continuaram a aceitar conexões TLS 1.0/1.1 até 27 de janeiro de 2021. Após essa data, esses serviços não aceitarão mais conexões TLS 1.0/1.1.
- Os dispositivos que não podem acessar o painel ou as APIs devem ser verificados quanto ao suporte a TLS 1.2.
Proteção para dispositivos AnyConnect ou cliente em roaming
A Umbrella estendeu o prazo para 27 de janeiro de 2021 para concluir a atualização para TLS 1.2. Não existem mais prorrogações. Os dispositivos AnyConnect e cliente de roaming que não atenderem aos requisitos do TLS 1.2 após 27 de janeiro de 2021 não receberão mais proteção do Umbrella.
Suporte ao gateway da Web seguro
- O Umbrella não suporta o tráfego HTTPS usando TLS 1.0 ou 1.1 no produto Secure Gateway.
- Antes de 27 de janeiro de 2021, o Secure Web Gateway oferecia suporte limitado para esses protocolos somente quando a Descriptografia HTTPS estava desabilitada.
- Configure todos os sistemas operacionais clientes para suportar TLS 1.2.
- Atualize ou modifique aplicativos que não sejam navegadores conforme necessário para garantir a compatibilidade com TLS 1.2. Entre em contato com os fornecedores de aplicativos para obter orientação.
Requisitos do Umbrella Ative Diretory Connector
O Umbrella não oferece suporte a conectores do Ative Diretory implantados em sistemas operacionais Windows que chegaram ao fim da vida útil. Os conectores do AD executados em versões do Windows sem suporte (Windows Server 2008, 2008 R2 ou Windows 7) param de sincronizar com o Umbrella e entram no estado de erro em 27 de janeiro de 2021.
Agentes de guarda-chuva: Requisitos mínimos de versão
Cliente de roaming do Windows ou módulo AnyConnect
- Cliente móvel Cisco Umbrella: Versão 2.2.356 ou mais recente
- Cisco AnyConnect com módulo de roaming Umbrella: Versão 4.8.02042 ou mais recente
- Para usar uma versão mais antiga do cliente, configure o TLS 1.2 através de alterações no Registro do Windows (veja as etapas abaixo).
- Microsoft .NET Framework: Versão 4.6.2 ou mais recente, ou um Windows 7 com .NET 3.5.1 com patch
(O AnyConnect requer .NET 4.x ou mais recente) - Versões do Windows suportadas: 7, 8, 8.1, 10
Cliente de roaming macOS ou módulo AnyConnect
- Qualquer versão do Umbrella Roaming Client ou do módulo de roaming do AnyConnect oferece suporte ao TLS 1.2
- Versão do MacOS suportada: 10.9 ou mais recente
Perguntas frequentes adicionais
O que acontece se os endpoints não forem atualizados no prazo?
Endpoints incapazes de negociar uma conexão TLS 1.2 não podem acessar sistemas Umbrella, incluindo o painel, serviços proxy inteligentes e páginas de bloqueio.
Para clientes que executam o Umbrella Roaming Module no AnyConnect, o Umbrella Enterprise Roaming Client ou o Umbrella AD Connector, o cliente não pode se conectar a nenhum serviço Umbrella. Isso faz com que o cliente não sincronize a configuração e o status com o painel Umbrella.
Os clientes de roaming existentes param de ser ativados e permanecem desprotegidos na próxima inicialização do serviço. Novos clientes que não suportam TLS 1.2 não podem se registrar no Umbrella. Esses clientes falham ao abrir; O DNS continua a ser resolvido através da pilha de rede local, mas os serviços de segurança de cliente móvel não são ativados.
Os dispositivos que tentam acessar sites bloqueados ou aqueles roteados por meio do Proxy Inteligente não podem se conectar. Os dispositivos que usam o cliente de roaming não podem acessar sites da Umbrella, páginas bloqueadas ou serviços de proxy.
A chave de registro funciona para versões mais antigas?
Sim, para o AnyConnect. Continue a usar versões mais antigas após aplicar a edição do registro para preferir o strongcrypto. Antes das versões mínimas listadas, o cliente de roaming iniciava conexões HTTPS sem especificar explicitamente a criptografia forte TLS 1.2. Se o .NET suportar TLS 1.2, ele o usará por padrão. As chaves de registro forçam o .NET a usar criptografia forte, replicando as atualizações em novas versões de cliente. Não há suporte para clientes de roaming autônomos anteriores à versão mais recente.
Posso testar somente o TLS 1.2?
Yes. Desative o TLS 1.0 e o TLS 1.1 no Registro do Windows para validar se os dispositivos operam totalmente usando apenas o TLS 1.2.
Por que substituir o TLS 1.0 e 1.1?
O TLS 1.0 e 1.1 estão desatualizados e não oferecem suporte a algoritmos criptográficos modernos. Eles contêm vulnerabilidades que os invasores podem explorar. A Internet Engineering Task Force está substituindo os dois protocolos. A maioria do tráfego de Internet criptografado usa TLS 1.2, que foi introduzido há mais de dez anos.
Por que foi selecionado o dia 31 de março de 2020?
O setor está substituindo o TLS 1.0 e 1.1 nesse período. Google, Microsoft, Apple e Mozilla anunciaram que seus navegadores não suportam mais TLS 1.0 e 1.1 a partir de março de 2020.
Isso pode afetar os usuários com dispositivos atualizados?
Não. A maioria dos sites suporta TLS 1.2. De acordo com a Qualys SSL Labs, 95,2% dos sites suportam TLS 1.2. Espera-se que esse número aumente conforme março de 2020 se aproxima. Um pequeno número de sites não pode funcionar, mas o impacto geral do usuário é mínimo. Verifique se os dispositivos atualizados incluem a versão correta do .NET para máquinas Windows.
Depois de atualizar um endpoint para TLS 1.2, é necessária mais ação para reativar o suporte Umbrella?
Na maioria dos casos, nenhuma ação adicional é necessária. O cliente restabelece a comunicação com os sistemas Umbrella usando o protocolo TLS 1.2 seguro. Para o cliente de roaming empresarial Umbrella ou o cliente de roaming Umbrella para AnyConnect, pode haver um atraso na restauração se o sistema estava off-line durante uma atualização de software do cliente. O cliente precisa baixar as atualizações antes que o serviço seja totalmente restaurado.
Como posso confirmar o suporte de endpoint para TLS 1.2?
-
Suporte ao Navegador da Web do Windows
- Acesse o painel do Umbrella e os sites relacionados.
- Execute o Teste de Navegador de Laboratórios SSL. Confirme se um "Sim" aparece ao lado de TLS 1.2 na seção Protocolos.
-
Suporte ao Windows .NET Framework
- Aplica-se a Enterprise Roaming Client, AnyConnect Roaming Module ou AD Connector.
- O .NET 4.6.2 ou mais recente fornece suporte a TLS 1.2 nativo.
- As versões anteriores requerem edições do registro (4.x) ou edições do registro e correções de hotfix manuais (3.5).
- Estas informações aplicam-se ao software Umbrella em execução no .NET Framework, incluindo o Conector AD e o Cliente de Roaming.
- Desative SSL, TLS 1.0 e TLS 1.1 no nível do sistema operacional, seguindo as instruções fornecidas pela Microsoft.
blobid0.png
-
Para Apple Mac e outros sistemas
- Execute o Teste de Navegador de Laboratórios SSL. Confirme se um "Sim" aparece ao lado de TLS 1.2 na seção Protocolos.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
04-Sep-2025
|
Versão inicial |
Feedback