Préparation à la dépréciation de TLS 1.0 / 1.1 et pourquoi vous devriez vous en soucier!

Comme vous avez pu entendre à travers la vigne, TLS 1.0 / 1.1 sera déconseillé à compter du 31 octobre 2018 . Alors qu'est-ce que cela signifie et pourquoi devriez-vous vous en soucier? Dans cet article, nous discuterons de ce que cela signifie pour les utilisateurs locaux de Lync / Skype et de Skype Entreprise Online et pourquoi TLS 1.2 sera obligatoire dans Office 365. Donc, avec tout ce qui précède, passons directement à l'action. !

Contexte

Microsoft a réagi avec nous en ce qui concerne leur date de dépréciation TLS 1.0 / 1.1. Initialement, Microsoft avait déclaré qu’ils ne prendraient plus en charge le protocole TLS1.0 / 1.1 à compter de mars 2018. Cependant, en raison des réactions incessantes de la communauté Microsoft concernant le calendrier très agressif, Microsoft a accepté de prolonger le support de TLS 1.0 / 1.1 jusqu’en octobre. 31, 2018. Alors, pourquoi Microsoft fait-il autant d'efforts? À l'heure actuelle, aucune vulnérabilité de sécurité TLS 1.0 n'est connue dans l'implémentation de Microsoft TLS 1.0 . Toutefois, en raison du risque d’attaques ultérieures liées à la rétrogradation de protocoles et d’autres vulnérabilités de TLS, Microsoft a décidé de mettre fin à la prise en charge de TLS 1.0 / 1.1 dans l’environnement Office 365. Ces vulnérabilités peuvent inclure (mais ne sont pas limitées à) Beast, POODLE, Crime et Heartbleed. Cela s'applique aux combinaisons client-serveur et navigateur-serveur.

Remarque: L'utilisation de TLS 1.2 avec Office 365 ne signifie pas que vous devez désactiver TLS 1.0 / 1.1 dans vos environnements avant le 31 octobre 2018. Si des parties de votre environnement nécessitent l'utilisation de TLS 1.0 et 1.1 à compter du 31 octobre 2018, vous pouvez laisser les anciennes versions de protocole activées. Cependant, TLS 1.2 devra être activé et utilisé pour la communication avec Office 365 afin d'éviter toute interruption de service.

Préparation

Afin de préparer au mieux ce changement TLS 1.2 à venir dans votre bureau. Dans un environnement 365, vous devez revoir et planifier trois scénarios.

1. Connectivité client Lync / Skype avec Office 365
2. Intégration de serveur sur site avec Office 365
3. Intégration tierce avec Skype pour Business Online

Discutons maintenant plus en détail de chacun de ces scénarios.

Connectivité du client Lync / Skype à Office 365

Les clients Lync et Skype Entreprise peuvent se connecter à Skype Entreprise Online, Exchange Online ou les deux en fonction de l'emplacement du compte pour ces services (en ligne ou sur site). Cela dit, vous devez vous reporter au tableau ci-dessous concernant les trois différents scénarios de connectivité pour déterminer si une préparation est nécessaire.

* même si vous n'êtes pas obligé de préparer les scénarios de connectivité client, vous devrez peut-être corriger votre infrastructure locale si vous fédérez des clients résidant dans Skype Entreprise Online. Ce scénario sera abordé plus en détail dans la section suivante.

Vous devez également vous assurer que vous disposez des versions client minimales suivantes :

• Lync 2013 (Skype Entreprise) Desktop Client, MSI et C2R, y compris Basic 0.5023.1000 et supérieur
• Client de bureau Skype Entreprise 2016, MSI 0.4678.1000 et supérieur y compris Basic
• Skype Entreprise 2016 Click to Run Required the Avril 2018 Mises à jour :
  • Cible mensuelle et semestrielle – 16.0.9126.2152 et plus
  • Canal semestriel et différé – 16.0.8431.2242 et plus
• Skype Entreprise sur Mac 16.15 et supérieur
• Skype Entreprise pour iOS et Android 6.19 et supérieur
• Skype Web App 2015 CU6 HF2 et supérieur (livré avec Serveur)

notez les serveurs entièrement pris en charge et testés :

• Skype Entreprise Server 2015 CU6 HF2 6.0.9319.516 ( mise à jour de mars 2018 )
  • Windows Server 2012 (avec KB 3140245 ou mise à jour remplaçante), 2012 R2 ou 2016
• Mise à niveau de Skype Entreprise Server 2015 avec CU6 HF2 et supérieur sur
  • Windows Server 2008 R2, 2012 (avec KB 3140245 ou mise à jour remplaçante), ou 2012 R2
• Exchange Connectivity et Outlook Web App avec Exchange Server 2010 SP3 RU19 ou supérieur, guide ici
• Survivable Branch Appliance (SBA) avec Sfb Server 2015 CU6 HF2 ou supérieur (c'est le responsabilité du fournisseur d'emballer le CU approprié et de le fournir, assurez-vous de confirmer avec votre fournisseur que les mises à jour sont disponibles pour votre appliance.
• Survivable Branch Server (SBS) 2015 CU6 HF2 ou supérieur
• Lync Server 2013 Rôle Edge uniquement ** – (pour en savoir plus)

** Lync Server 2013 prend désormais en charge TLS 1.2 avec la mise à jour cumulative juillet 1945 alias "CU10". Selon Microsoft, «nous fournissons un support TLS 1.2 pour permettre la coexistence, la migration, les scénarios de fédération et hybrides. Cela ne signifie pas pour autant que nous prenons en charge la désactivation de TLS 1.0 ou 1.1 sur Lync Server 2013. En fait, cela rendra Lync Server 2013 non opérationnel. Lync Server 2013 (tous les rôles sauf Edge) prend une dépendance sur Windows Fabric version 1.0. Cela étant dit, Windows Fabric 1.0 ne prend pas en charge TLS 1.2 et par conséquent, il ne reste plus de support pour désactiver TLS 1.0 ou 1.1 sur tous les rôles de Lync Server 2013 sauf Edge. Sachez que tous les appareils ne prennent pas en charge TLS 1.2 pour le moment, mais sont en cours de révision et Microsoft a indiqué qu’ils fourniraient des conseils à ce sujet ultérieurement. Vous devriez vérifier régulièrement à propos de la prise en charge de TLS 1.2 pour les périphériques suivants:

• Lync Room System (LRS / SRSv1)
• Système de pièce Skype (SRSv2 ou Rigel)
• Surface Hub
• (CQD) ** – Plus d'informations à ce sujet
• Cloud Connector Edition (CCE)

** Si vous prévoyez d'installer un déploiement local de CQD, alors Cela dépendra de TLS 1.0 pour les premières installations. Des tests sont en cours pour un correctif, il est donc recommandé entre-temps que si vous installez CQD sur site, vous devez terminer l'installation avant de désactiver TLS 1.0.

Notez également les produits suivants qui ne sont pas pris en charge et considérés hors de la portée:

• Lync Server 2013 ** – (exceptions mentionnées ci-dessus)
• Lync Server 2010
• Windows Server 2008 et versions ultérieures [19659010] Lync pour Mac 2011
• Lync 2013 pour mobile – iOS, iPad, Android ou Windows Phone
• Client de magasin Windows Lync «MX»
• Tous les clients Lync 2010
• Lync Phone Edition – mise à jour here .
• Survivable Branch Appliance (SBA) ou Survivable Branch Server (SBS) 2013

Enfin, comme mentionné dans la correction du client précédent, vous devez vous assurer que le système d'exploitation sous-jacent (OS) ) et le navigateur par défaut prennent en charge TLS 1.2 pour le support de Microsoft OS, vous pouvez consulter le livre blanc de Microsoft ici .

Remarque: TLS 1.2 n'est pas activé par défaut pour Windows 7. Cela signifie que vous devrez l'activer pour tous les utilisateurs de Windows 7 si ce n'est déjà fait (des conseils à ce sujet sont inclus dans le livre blanc ci-dessus). En outre, le lien suivant vous fournira des conseils sur la capacité TLS 1.2 pour les navigateurs. https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers

Intégration de serveur sur site avec Office 365

Plusieurs topologies hybrides prises en charge sont couvertes par ce scénario. . Cela inclut l'intégration ou Hybrid avec: Skype Entreprise Online ou Exchange Online. Pour obtenir la liste de tous les scénarios d'intégration Skype Entreprise to Exchange pris en charge sur site, veuillez vous reporter au lien ici . Veuillez noter que les scénarios hybrides Lync 2010 n'ont jamais été et n'ont jamais été envisagés pour la prise en charge de TLS 1.2. Ainsi, vous devez planifier en conséquence pour obtenir une topologie hybride prise en charge (par exemple, hybride Lync 2013, hybride Skype Entreprise 2015). Le tableau ci-dessous fournit une vue d'ensemble des scénarios nécessitant une préparation ainsi que des sources d'informations supplémentaires sur ces types de déploiement et d'intégrations.

Si vous vous trouvez dans l’un des quatre premiers scénarios décrits ci-dessus, vous devez mettre à jour votre environnement de serveur local à l'une des versions suivantes:

Comme mentionné précédemment, Lync 2010 n'a jamais fait partie de la portée de Microsoft pour prendre en charge TLS 1.2. Par conséquent, si vous disposez d'un environnement Lync 2010, vous devez effectuer la mise à niveau vers Skype Entreprise Server 2015. HF2 6.0.9319.516 ou supérieur. Les scénarios hybrides ou d'intégration avec Office Communications Server 2007 R2 ou version antérieure ne sont pas pris en charge.

Intégration tierce avec Skype Entreprise Online

Pour ceux qui ne le savent pas encore, Microsoft dispose d'une multitude de SDK et d'API pris en charge ici . Cela dit, vous devez également considérer que certains de ces SDK et API peuvent ne pas être en mesure de prendre en charge TLS 1.2. Microsoft vous recommande de consulter votre fournisseur tiers pour vous assurer que le SDK ou l’API s’intègre pleinement à TLS 1.2. Toutefois, si vous avez développé votre propre application en interne, Microsoft vous recommande vivement de suivre les instructions de leur livre blanc TLS . Ce livre blanc vous guidera pour garantir que votre application interne est capable de prendre en charge TLS 1.2 via des méthodes de validation et de test.

Considérations finales

Enfin, il est fort probable que votre environnement soit composé de différents types de dispositifs de sécurité et de mise en réseau. Cela peut inclure (mais sans s'y limiter):

• Serveurs proxy / inverse proxy
• Equilibreurs de charge
• Téléphones 3PIP
• Appareils de vidéoconférence
• SBC
• SBA / SBS

une présentation plus approfondie de ce sujet, y compris la mise à jour de votre topologie existante et de scénarios de déploiement avancés, je vous recommande fortement de consulter la série Blog NextHop .