TechNote em segurar o apoio TLS com UCCX

Introdução

Este original descreve como o Cisco Unified Contact Center Express (UCCX) usa o Transport Layer Security (TLS) para tipos diferentes de integração com os aplicativos de terceiros. Estas integrações podem ser onde o UCCX funciona como um cliente ou onde o UCCX funciona como um server. 

Contribuído por Abhiram Kramadhati, planejamento de Cisco.

Funções UCCX como um server

Quando UCCX funciona como um server, e a parte remota se comunica usando o TLS1.0, 1.1 ou 1.2, UCCX são capazes da comunicação baseada nas versões TLS compatíveis com a versão unificada CCX:

1. CCX unificado 10.6 - TLS1.0, 1.1 e 1.2
2. CCX unificado 11.x - TLS1.0, 1.1 e 1.2

Estas são as integrações onde os serviços API do sistema unificado CCX são utilizados por um aplicativo de terceiros. 

Funções UCCX como um cliente

Quando o UCCX funciona como um cliente, pede um server da terceira parte para invocar um serviço ou obtém a informação. Um exemplo comum, neste caso, é integração a um sistema de Salesforce para a integração CRM. Os pedidos podem ser qualquer um de:

1. Script unificado CCX
2. Trabalhos da fineza
3. Dispositivos da fineza

Em versões 10.x UCCX, 11.0(1) e 11.5(1), quando o CCX unificado invoca este pedido usa o TLS1.0 à revelia. O server da terceira parte deve poder comunicar-se usando o TLS1.0 ou então a comunicação falhará.

O apoio TLS1.0 está sendo suplicado

O apoio para o TLS1.0 é suplicado por muitos fornecedores de aplicativo. A comunicação no TLS1.0 (e mesmo a Disponibilidade do TLS1.0) são consideradas como uma vulnerabilidade por muitas organizações. 

O anúncio o mais recente a este respeito foi de Salesforce: https://help.salesforce.com/articleView?id=000221207&type=1. Isto é relevante aos clientes UCCX que têm UCCX integrado com Salesforce. Como em 17o fevereiro 2017, Salesforce anunciou que estarão removendo o apoio para o TLS1.0:

Disposições novas: TLS1.0 desabilitado à revelia

Ambientes da caixa de areia/sistemas do colaborador: Cargo desabilitado TLS1.0 junho 25, 2016, em 9:30 AM PDT (16:30 UTC)

Sistemas da produção: Cargo desabilitado TLS1.0 julho 22, 2017

Isto significa que as soluções UCCX que invocam pedidos da Web aos sistemas de Salesforce usando o TLS1.0, não afixam estas datas.

Note: A mesma lógica aplica-se a uma integração. Salesforce é um tal vendedor que fez um anúncio a este respeito.

Próximas etapas

Se existe as integrações que usam o TLS, a tabela abaixo representa as versões do CCX unificado que fornecem TLS 1.1 e o apoio 1.2 para integrações unificadas CCX quando o CCX unificado é o cliente (integração de Salesforce) e igualmente a remoção do TLS1.0 do CCX unificado completamente. 

Os clientes devem planejar promover às versões mencionadas abaixo que fornecem o apoio TLS que é necessário para seu ambiente. Não há nenhum serviços especiais de engenharia disponível para o mesmos.

Liberação atual do cliente	Vise a liberação para TLS 1.1, o apoio 1.2 quando UCCX é cliente	Vise a liberação para a remoção TLS1.0 de UCCX
10.0	10.6(1)SU3	11.5(1)SU1
10.5	10.6(1)SU3	11.5(1)SU1
10.6	10.6(1)SU3	11.5(1)SU1
11.0	11.5(1)SU1	11.5(1)SU1
11.5	11.5(1)SU1	11.5(1)SU1

Os ETA para as liberações acima não são confirmados ainda mas são antes do fim do prazo de Salesforce. São publicados na página de download de software de cisco.com.

Matriz de suporte TLS

Apoio atual

Versão da solução UCCX	Versões TLS quando UCCX que funciona como o server	Versões TLS quando UCCX que funciona como o cliente
10.6(1)SU2	1.0, 1.1, 1.2	1.0
11.0(1)	1.0, 1.1, 1.2	1.0
11.0(1)SU1	1.0, 1.1, 1.2	1.0
11.5(1)	1.0, 1.1, 1.2	1.0

Próximas versões

Versão da solução UCCX	Versões TLS quando UCCX que funciona como o server	Versões TLS quando UCCX que funciona como o cliente
10.6(1)SU3	1.0, 1.1, 1.2	1.1, 1.2*
11.5(1)SU1	1.1, 1.2#	1.1, 1.2*
11.6(1)	1.2	1.2

* padrão

^# veja a nota sobre SocialMiner aqui

Apoio de SocialMiner e TLS

SocialMiner tem estas mudanças independentemente da matriz de suporte acima mencionada:

11.5(1)SU1

Ainda troca 2010 dos apoios 11.5(1)SU1. Desde que a troca 2010 apoia SOMENTE O TLS1.0, SocialMiner não removerá o TLS1.0. Contudo, assegurar que a Segurança não está comprometida todas as conexões recebidas não apoiará o TLS1.0 e somente a conexão de saída terá o TLS1.0, se o server da 3ª parte pode se comunicar no TLS1.0 somente. Se não, as conexões trabalharão em TLS 1.1 e 1.2

11.6

SocialMiner 11.6 tem o TLS1.0 removido. Se os usos do cliente trocam 2013, troque à revelia 2013 usos TLS1.0 e todas as campanhas do email falham desde que SocialMiner não apoia o TLS1.0. Daqui, o cliente deve permitir TLS 1.1/1,2 na troca 2013 de modo que possa continuar a trabalhar com 11.6. Isto documened nos Release Note e na comunicação da PRE-liberação para 11.6 também.

FAQ

Como obter o apoio TLS necessário para a solução?

Você deve promover às versões como catalogado na tabela acima. Não há algum engenharia separada especial ou um arquivo da bobina.

Se Salesforce remove o apoio TLS1.0 e eu estou em uma versão que apoie somente o TLS1.0 para pedidos do cliente, o pedido ao sistema de Salesforce falha?

Yes. De fato, nenhum server que não apoiar o TLS1.0 não funcionará com UCCX se UCCX está enviando pedidos no TLS1.0 somente e este é verdadeiro para versões 10.6(1)SU2, 11.0(1), 11.0(1)SU1, 11.5(1).

O apoio TLS1.0 que está disponível é um risco de segurança. Posso eu remover o TLS1.0 completamente de minha solução UCCX?

Sim, UCCX 11.5(1)SU1 tem avante o TLS1.0 removido completamente para conexões de HTTPS externos.

Cada conexão para/desde UCCX é aplicável às mudanças acima mencionadas TLS?

Estas atualizações são para conexões de HTTPS somente. As conexões JDBC podem ainda operar sobre o TLS1.0.

Obtendo a documentação e a submissão de um pedido do serviço

Para obter informações sobre de obter a documentação, usando a ferramenta de pesquisa do Bug da Cisco (BST), submetendo um pedido do serviço, e recolhendo a informação adicional, veja o que é novo na documentação de produtos da Cisco:  http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html.

Subscreva ao que é novo na documentação de produtos da Cisco, que alista toda a documentação técnica nova e revisada de Cisco, como uma alimentação RSS e entregue o índice diretamente a seu desktop usando um aplicativo do leitor. As alimentações RSS são um serviço gratuito.

AS ESPECIFICAÇÕES E A INFORMAÇÃO EM RELAÇÃO AO PRODUTOS NESTE MANUAL SÃO SUJEITAS MUDAR SEM AVISO PRÉVIO. TODAS AS INDICAÇÕES, INFORMAÇÃO, E RECOMENDAÇÕES NESTE MANUAL SÃO ACREDITADAS PARA SER EXATAS MAS APRESENTADAS SEM GARANTIA DE QUALQUER TIPO, EXPRESSO OU IMPLICADAS. OS USER DEVEM TOMAR A RESPONSABILIDADE TOTAL PARA SEU APLICATIVO DE TODO O PRODUTOS.

A LICENÇA DO SOFTWARE E A GARANTIA DE LIMITED PARA O PRODUTO DE ACOMPANHAMENTO SÃO MOSTRADAS NO PACOTE DE INFORMAÇÃO QUE ENVIOU COM O PRODUTO E INCORPORADAS NISTO POR ESTA REFERÊNCIA. SE VOCÊ É INCAPAZ DE ENCONTRAR A LICENÇA DO SOFTWARE OU A GARANTIA DE LIMITED, CONTACTE SEU REPRESENTANTE DO CISCO PARA UMA CÓPIA.

A implementação Cisco do TCP Header Compression é uma adaptação de um programa desenvolvido pelo University of California, Berkeley (UCB) como parte da versão do public domain de UCB do sistema operacional UNIX. Todos os direitos reservados. © 1981 de Copyright, regentes da Universidade da California.

CONTUDO DE TODA A OUTRA GARANTIA NISTO, TODOS OS ARQUIVOS DE ORIGINAL E SOFTWARE DESTES FORNECEDORES SÃO FORNECIDOS “COMO É” COM TODAS AS FALHAS. CISCO E OS FORNECEDORES ACIMA MENCIONADOS DESMENTEM TODAS AS GARANTIAS, EXPRESSAMS OU IMPLICADOS, INCLUINDO, SEM LIMITAÇÃO, AQUELAS DO MERCHANTABILITY, APTIDÃO PARA UMA FINALIDADE PARTICULAR E NONINFRINGEMENT OU ELEVARANDO DE UM CURSO DO TRATAMENTO, DO USO, OU DA PRÁTICA DE COMÉRCIO.

NUNCA CISCO OU SEUS FORNECEDORES SERÃO RESPONSÁVEL PARA TODOS OS DANOS INDIRETOS, ESPECIAIS, CONSEQUENTES, OU INCIDENTAIS, INCLUINDO, SEM LIMITAÇÃO, LUCROS OU PERDA PERDIDA OU DANO AO DATA QUE ELEVARA FORA DO USO OU DA INCAPACIDADE USAR ESTE MANUAL, MESMO SE CISCO OU SEUS FORNECEDORES FORAM RECOMENDADOS DA POSSIBILIDADE DE TAIS DANOS.

Nenhuns endereços e números de telefone do Protocolo IP usados neste original não são pretendidos ser endereços reais e números de telefone. Qualquer exemplos, saída do comando display, diagramas de topologia de rede, e outro figuram que incluído no original estão mostrados apenas para fins ilustrativos. Todo o uso de endereços IP de Um ou Mais Servidores Cisco ICM NT ou de números de telefone reais no índice ilustrativo é involuntário e coincidente.

Todas as cópias impressas e exibições em tela duplicadas são consideradas cópias descontroladas e a versão em linha original deve ser referida para a versão a mais atrasada.

Cisco tem mais de 200 escritórios no mundo inteiro. Os endereços, os números de telefone, e os números de fax são alistados na site da Cisco na Web em www.cisco.com/go/offices.

Cisco e o logotipo Cisco são marcas registradas ou marcas registradas de Cisco e/ou de suas filiais nos E.U. e em outros países. Para ver uma lista de marcas registradas de Cisco, vá a esta URL: www.cisco.com/go/trademarks. As marcas registradas da terceira mencionadas são a propriedade de seus proprietários respectivos. O uso do sócio da palavra não implica um relacionamento de parceria entre Cisco e nenhuma outra empresa. (1110R)

Cisco Systems, Inc. do © 2016 Todos os direitos reservados.