常见问题
Adobe Acrobat Sign TLS 加密规则会影响哪些类型的网络流量?
所有流量:
入站
入站流量指从客户端到我们的服务器之间建立的连接。我们将停止支持到我们 API 的未加密连接,也就是使用“ http :”的请求,而不是使用“https:”的请求。
在我们完成此更改后,客户和合作伙伴应用程序将无法尝试建立未加密的连接。具体的错误行为将特定于应用程序。
错误消息:
错误将特定于应用程序,但可能会报告为网络连接错误。
要解决此问题,客户必须更改其应用程序以指定“https:”URL。他们的客户端还必须支持 TLSv1.2。(自 4 月 9 日起,我们的服务器仅接受此 SSL/TLS 版本。)
出站
出站流量指从我们的服务器到客户指定的服务器之间建立的反向连接。出站流量有两种类别:
• 上载回调,用于文档上载(此处有针对 REST API 的说明,不过此类别的回调也适用于旧版 SOAP API)
• 状态回调,用于通知客户协议状态发生的变化(此处有针对 REST API 的说明,不过此类别的回调也适用于旧版 SOAP API)
对于这两个类别的回调,我们将停止支持以下类型的连接:
a. 未加密的连接(使用“ http :”URL,而不是“https:”URL)
b. 与不支持 TLSv1.2 的服务器进行的连接(即,将不再支持 TLSv1.0 和 TLSv1.1)
c. 与使用无效证书的服务器进行的连接。无效证书包括使用自签名证书或已过期证书,以及 URL 使用 IP 地址(而不是主机名)的情况
错误消息:
• 上载回调:上载应返回 API 错误
• 状态回调:
要解决此问题,请执行以下操作:
• 在合作伙伴/客户的 Sign 应用程序中,为回调指定的 URL 必须使用“https:”,而不是“ http :”。 URL 还必须使用主机名,而不是 IP 地址。
• 这些 URL 引用的服务器必须支持 TLSv1.2 并且具备有效的证书。
如何确定我与 Acrobat Sign 进行的连接是否安全?
我们会生成相应的报告来识别其现有入站或出站流量存在不安全因素的客户。这类客户会直接收到通知。
对于希望测试服务器是否符合安全标准的客户,可使用各种免费或商业性工具(包括 Qualys SSLLabs Server Test),以确保其服务器接受 TLSv1.2 且具备有效的证书。
关于加密标准,还有需要了解的其他信息吗?
状态回调
对于状态回调,除了支持 TLS 1.2 以外,客户的服务器还必须支持以下密码套件之一:
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
