Desligamento Protocolos TLS 1.0 e 1.1
Importante
Este aviso não se aplica no momento a clientes que acessam API do Serpro via INFOCONV ou ConectaGov.
Estamos realizando uma importante atualização em nossa infraestrutura de segurança para garantir a integridade dos dados e a proteção dos usuários das nossas APIs.
O Serpro já utiliza o protocolo de segurança TLS 1.3 desde 04/2024 e, a partir de 31/10/2024, será desligado o suporte para os protocolos de segurança TLS 1.0 e 1.1 no nosso gateway de APIs do Serpro (gateway.apiserpro.serpro.gov.br).
Esta decisão é motivada por uma série de fatores essenciais para preservar a segurança de nossos serviços e garantir a conformidade com os mais recentes padrões de segurança da indústria.
O Transport Layer Security (TLS) é um protocolo de segurança projetado para fornecer segurança nas comunicações sobre uma rede de computadores. Várias versões do protocolo encontram amplo uso em aplicativos como navegação na web, e-mail, mensagens instantâneas e voz sobre IP (VoIP). Os sites podem usar o TLS para proteger todas as comunicações entre seus servidores e navegadores web. Ele visa principalmente fornecer privacidade e integridade de dados entre dois ou mais aplicativos de computador que se comunicam.
O TLS 1.0 já está em uso há mais de 20 anos e o TLS 1.1 há 14 anos, período suficiente para que hackers descobrissem suas vulnerabilidades, como o ataque BEAST (Browser Exploit Against SSL/TLS). Além disso, essas versões utilizam algoritmos criptográficos fracos como MD5 e SHA1, os quais propiciam um ambiente favorável aos ataques do tipo SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes).
A própria implantação da tecnologia de WAF contribui com tecnologias mais atualizadas de criptografia e que bloqueia o uso de versões obsoletas do protocolo. Além disso, o uso do TLS 1.0/1.1 impede a implementação de navegadores mais atuais, já que cada vez menos navegadores suportam o uso dessas versões antigas, o que abre novas brechas de segurança.
Portanto as versões 1.1 e 1.0 serão desativadas e substituídas pela versão atual do protocolo, a 1.3, definida no RFC 8446 (agosto de 2018).
Para garantir uma transição suave e sem impactos ao negócio, recomendamos o início imediato do planejamento de atualização para a versão TLS 1.3 (obs.: a versão 1.3 é a mais indicada, mas caso necessite utilizar a versão 1.2, esta ainda estará ativa e pode ser utilizada).
Importante
Os clientes que permanecerem utilizando os protocolos TLS 1.0 e 1.1 não conseguirão integrar-se aos serviços após 31/10/2024.
Para ajudá-los no processo de migração, fizemos um levantamento dos impactos na migração para quem usa as seguintes linguagens:
Para testar o protocolo 1.3
Nossos servidores já estão configurados para o protocolo TLS 1.3, então para testar, basta enviar a requisição com este protocolo e analisar o resultado.
Observação: o ambiente gateway é de produção. Mas caso a API que sua empresa acessa possua uma de homologação e você tiver o acesso (chaves), poderá testar nesta API. Se não, poderá acessar na API de produção, a qual possui o acesso.
Para dúvidas ou esclarecimentos, entre em contato conosco através do e-mail duvidas.tls@serpro.gov.br.
Criada: 15 de agosto de 2024