Ir para o conteúdo

Desligamento Protocolos TLS 1.0 e 1.1

Estamos realizando uma importante atualização em nossa infraestrutura de segurança para garantir a integridade dos dados e a proteção dos usuários das nossas APIs.

O Serpro já utiliza o protocolo de segurança TLS 1.3 desde 04/2024 e, a partir de 31/10/2024, será desligado o suporte para os protocolos de segurança TLS 1.0 e 1.1 no nosso gateway de APIs do Serpro (gateway.apiserpro.serpro.gov.br).

Esta decisão é motivada por uma série de fatores essenciais para preservar a segurança de nossos serviços e garantir a conformidade com os mais recentes padrões de segurança da indústria.

O Transport Layer Security (TLS) é um protocolo de segurança projetado para fornecer segurança nas comunicações sobre uma rede de computadores. Várias versões do protocolo encontram amplo uso em aplicativos como navegação na web, e-mail, mensagens instantâneas e voz sobre IP (VoIP). Os sites podem usar o TLS para proteger todas as comunicações entre seus servidores e navegadores web. Ele visa principalmente fornecer privacidade e integridade de dados entre dois ou mais aplicativos de computador que se comunicam.

O TLS 1.0 já está em uso há mais de 20 anos e o TLS 1.1 há 14 anos, período suficiente para que hackers descobrissem suas vulnerabilidades, como o ataque BEAST (Browser Exploit Against SSL/TLS). Além disso, essas versões utilizam algoritmos criptográficos fracos como MD5 e SHA1, os quais propiciam um ambiente favorável aos ataques do tipo SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes).

A própria implantação da tecnologia de WAF contribui com tecnologias mais atualizadas de criptografia e que bloqueia o uso de versões obsoletas do protocolo. Além disso, o uso do TLS 1.0/1.1 impede a implementação de navegadores mais atuais, já que cada vez menos navegadores suportam o uso dessas versões antigas, o que abre novas brechas de segurança.

Portanto as versões 1.1 e 1.0 serão desativadas e substituídas pela versão atual do protocolo, a 1.3, definida no RFC 8446 (agosto de 2018).

Para garantir uma transição suave e sem impactos ao negócio, recomendamos o início imediato do planejamento de atualização para a versão TLS 1.3.

Importante

Os clientes que permanecerem utilizando os protocolos TLS 1.0 e 1.1 não conseguirão integrar-se aos serviços após 31/10/2024.

Para ajudá-los no processo de migração, fizemos um levantamento dos impactos na migração para quem usa as seguintes linguagens:

Dotnet
Nodejs
Python
PHP
Java

Para dúvidas ou esclarecimentos, entre em contato conosco através do e-mail duvidas.tls@serpro.gov.br.

Última atualização: 21 de agosto de 2024
Criada: 15 de agosto de 2024