所有流量:
入站
入站流量指从客户端到我们的服务器之间建立的连接。我们将停止支持到我们 API 的未加密连接,也就是使用“
在我们完成此更改后,客户和合作伙伴应用程序将无法尝试建立未加密的连接。具体的错误行为将特定于应用程序。
错误消息:
错误将特定于应用程序,但可能会报告为网络连接错误。
要解决此问题,客户必须更改其应用程序以指定“https:”URL。他们的客户端还必须支持 TLSv1.2。(自 4 月 9 日起,我们的服务器仅接受此 SSL/TLS 版本。)
出站
出站流量指从我们的服务器到客户指定的服务器之间建立的反向连接。出站流量有两种类别:
• 上载回调,用于文档上载(此处有针对 REST API 的说明,不过此类别的回调也适用于旧版 SOAP API)
• 状态回调,用于通知客户协议状态发生的变化(此处有针对 REST API 的说明,不过此类别的回调也适用于旧版 SOAP API)
对于这两个类别的回调,我们将停止支持以下类型的连接:
a. 未加密的连接(使用“
b. 与不支持 TLSv1.2 的服务器进行的连接(即,将不再支持 TLSv1.0 和 TLSv1.1)
c. 与使用无效证书的服务器进行的连接。无效证书包括使用自签名证书或已过期证书,以及 URL 使用 IP 地址(而不是主机名)的情况。
错误消息:
• 上载回调:上载应返回 API 错误。
• 状态回调:
要解决此问题,请执行以下操作:
• 在合作伙伴/客户的 Sign 应用程序中,为回调指定的 URL 必须使用“https:”,而不是“
• 这些 URL 引用的服务器必须支持 TLSv1.2 并且具备有效的证书。
我们会生成相应的报告来识别其现有入站或出站流量存在不安全因素的客户。这类客户会直接收到通知。
对于希望测试服务器是否符合安全标准的客户,可使用各种免费或商业性工具(包括 Qualys SSLLabs Server Test),以确保其服务器接受 TLSv1.2 且具备有效的证书。
类别 |
请求类型 |
未加密 |
TLS 1.0 |
TLS 1.1 |
无效证书 |
入站 API 请求 |
所有请求 |
已于 6 月 20 日阻止 |
已在 2018 年 4 月阻止 |
已在 2018 年 4 月阻止 |
不适用 |
出站 API 请求 |
文档上载回调 |
已于 6 月 20 日阻止 |
将于 2018 年第 3 季度起阻止 |
将于 2018 年第 3 季度起阻止 |
将于 2018 年第 3 季度起阻止 |
状态回调 |
已于 6 月 20 日阻止 |
已于 6 月 20 日阻止 |
已于 6 月 20 日阻止 |
已于 6 月 20 日阻止 |
状态回调
对于状态回调,除了支持 TLS 1.2 以外,客户的服务器还必须支持以下密码套件之一:
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
