Conjuntos de codificação de servidor e requisitos do TLS
Um conjunto de cifras é um conjunto de algoritmos criptográficos. Ele é usado para criptografar mensagens entre clientes/servidores e outros servidores. O Dataverse está usando os pacotes de codificação de TLS 1.2 mais recentes aprovados pela Microsoft Crypto Board.
Antes de uma conexão segura ser estabelecida, o protocolo e a cifra são negociados entre o servidor e o cliente com base na disponibilidade em ambos os lados.
Você pode usar seus servidores locais para integração com os seguintes serviços do Dataverse:
- Sincronização de emails de seu servidor Exchange.
- Execução de plug-ins de saída.
- Execução de clientes nativos/locais para acessar seus ambientes.
Para estar em conformidade com a nossa política de segurança para uma conexão segura, seu servidor deve ter o seguinte:
Conformidade com o protocolo TLS (Transport Layer Security) 1.2
Pelo menos uma das seguintes criptografias:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384Importante
TLS 1.0 e 1.1 e conjuntos de criptografia mais antigos (por exemplo, TLS_RSA) foram descontinuados; consulte o comunicado. Seus servidores devem ter o protocolo de segurança acima para continuar executando os serviços do Dataverse.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 e TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 podem aparecer como fracos quando você executa um teste de relatório SSL. Isso se deve a ataques conhecidos contra a implementação do OpenSSL. O Dataverse usa a implementação do Windows que não é baseada em OpenSSL e, portanto, não é vulnerável.
Você pode atualizar a versão do Windows ou atualizar o registro de TLS do Windows para ter certeza de que o ponto de extremidade do servidor oferece suporte a uma dessas cifras.
Para verificar se o seu servidor está em conformidade com o protocolo de segurança, você pode realizar um teste usando uma criptografia de TLS e uma ferramenta de scanner:
Os Certificados de CA Raiz a seguir instalados. Instale apenas aqueles que correspondem ao seu ambiente de nuvem.
Para público/PROD
Autoridade de Certificado Data de vencimento Número de Série/Impressão Digital Baixar DigiCert Global Root G2 15 de janeiro de 2038 0x033af1e6a711a9a0bb2864b11d09fae5
DF3C24F9BFD666761B268073FE06D1CC8D4F82A4PEM DigiCert Global Root G3 15 de janeiro de 2038 0x055556bcf25ea43535c3a40fd5ab4572
7E04DE896A3E666D00E687D33FFAD93BE83D349EPEM Autoridade de Certificação Raiz Microsoft ECC 2017 18 de julho de 2042 0x66f23daf87de8bb14aea0c573101c2ec
999A64C37FF47D9FAB95F14769891460EEC4C3C5PEM Autoridade de Certificação Raiz Microsoft RSA 2017 18 de julho de 2042 0x1ed397095fd8b4b347701eaabe7f45b3
3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74PEM Para Fairfax/Arlington/Governo dos EUA Nuvem
Autoridade de Certificado Data de vencimento Número de Série/Impressão Digital Baixar DigiCert Global Root CA 10 de novembro de 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert SHA2 Secure Server CA 22 de setembro de 2030 0x02742eaa17ca8e21c717bb1ffcfd0ca0
626D44E704D1CEABE3BF0D53397464AC8080142CPEM DigiCert TLS Hybrid ECC SHA384 2020 CA1 22 de setembro de 2030 0x0a275fe704d6eecb23d5cd5b4b1a4e04
51E39A8BDB08878C52D6186588A0FA266A69CF28PEM Para Mooncake/Gallatin/China Gov Cloud
Autoridade de Certificado Data de vencimento Número de Série/Impressão Digital Baixar DigiCert Global Root CA 10 de novembro de 2031 0x083be056904246b1a1756ac95991c74a
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436PEM DigiCert Basic RSA CN CA G2 4 de março de 2030 0x02f7e1f982bad009aff47dc95741b2f6
4D1FA5D1FB1AC3917C08E43F65015E6AEA571179PEM Por que isso é necessário?
Consulte Documentação dos Padrões TLS 1.2 - Seção 7.4.2 - lista de certificados.
Por que os certificados SSL/TLS do Dataverse usam domínios curinga?
Os certificados SSL/TLS curinga são projetados, pois centenas de URLs de organizações devem ser acessíveis a partir de cada servidor host. Os certificados SSL/TLS com centenas de Nomes Alternativos do Assunto (SANs) têm um impacto negativo em alguns clientes e navegadores da Web. Essa é uma restrição de infraestrutura baseada na natureza de uma oferta de software como serviço (SAAS), que hospeda várias organizações de clientes em um conjunto de infraestrutura compartilhada.
Confira também
Conecte-se a Exchange Server (local)
Dynamics 365 Sincronização do lado do servidor
Orientação TLS do servidor Exchange
Conjuntos de cifras em TLS/SSL (Schannel SSP)
Gerenciar Transporte camada Segurança (TLS)
Como habilitar o TLS 1.2