Segurança de documentos: conformidade com o App Transport Security (ATS) da Apple

Problema: a conexão com servidores dp LiveCycle/AEM Forms de aplicativos iOS e determinados clientes do Mac OS falham após a introdução do App Transport Security (ATS) da Apple

Os clientes se conectam ao servidor do LiveCycle/AEM Forms usando HTTPS. Para clientes iOS 9 ou Mac OS 10.11 conectados ao servidor do LiveCycle/AEM Forms via HTTPS, a Apple exige que o servidor seja compatível com o App Transport Security (ATS). Se o servidor não é compatível com ATS, a Apple bloqueia todas as conexões HTTPS com o servidor. 

Para o servidor estar em conformidade com o ATS, certifique-se de que:

  • O servidor do LiveCycle/AEM Forms é compatível com conexões usando o padrão TLS 1.2 via HTTPS.
  • A conexão TLS 1.2 usa cifras que suportam o perfect forward secrecy (PFS) através da troca de chaves da curva elíptica Diffie-Hellman efêmera (ECDHE). Para obter uma lista das cifras que possuem essa propriedade, consulte a página NSAppTransportSecurity em Referência principal da lista de propriedades de informações na documentação de pré-lançamento da Apple. 
  • O certificado do servidor é assinado com SHA-2 com um tamanho mínimo de digitação de 256 bits.
  • O certificado do servidor leaf é assinado com um dos seguintes tipos de chaves:
    • chave com chave maior que 2048 bytes
    • chave ECC com chave maior que 256 bytes

 Consulte a documentação de pré-lançamento da Apple

Recomenda-se o uso do TLS 1.2 padrão para todas as comunicações, mesmo em dispositivos que não são da Apple, por motivos de segurança e porque isso permite a conformidade com o ATS.

É possível usar um dos seguintes métodos para verificar se o seu servidor é compatível com ATS:

  • Uso do SSL Labs se a URL do servidor for pública
  • Uso de uma máquina Mac

Execute as etapas a seguir para verificar se seu servidor é compatível com ATS usando o SSL Labs:

  1. No navegador, abra: https://www.ssllabs.com/ssltest/analyze.html

  2. Digite a URL do servidor no campo Hostname e clique em Enviar

    Digite acrobat.com ou selecione uma das opções disponíveis para ver como funcionam. 

  3. Na página de relatório de SSL, localize Apple ATS 9/iOS 9.

    Se o servidor é compatível com ATS, é possível ver uma mensagem em verde ao lado de ATS 9/iOS 9. Se o servidor não é compatível com ATS 9/iOS 9, aparece uma mensagem em vermelho. 

Execute as etapas a seguir para testar se o servidor é compatível com ATS usando uma máquina Mac com o Mac OS X 10.11 El Capitan:

  1. No terminal, digite: /usr/bin/nscurl --ats-diagnostics <url>

    Substitua <url> pela URL do servidor para o qual deseja verificar a conformidade com o ATS. 

  2. Seu servidor é compatível com ATS caso a seguinte mensagem seja exibida:

    ---
    
    ATS Default Connection
    
    Result: PASS
    
    ---
    

Use um dos procedimentos acima para validar a conformidade com o ATS. 

Se o servidor falhar no teste de conformidade com o ATS

Siga as etapas a seguir para solucionar o problema de conformidade com o ATS: 

  • Use um proxy, como o proxy do Apache.
    Se a configuração já está usando um balanceador de carga ou um proxy, ou se tiver sido introduzido um novo servidor proxy, é possível modificar as configurações de proxy para resolver o problema de falha de conexão SSL. 
    Para o novo servidor proxy: verifique se ele tem o mesmo nome de domínio que o servidor do LiveCycle/AEM Forms e leia a documentação do servidor proxy/balanceador de carga para tornar o servidor proxy compatível com ATS. 

Se não for possível usar um servidor proxy, execute as etapas de acordo com o servidor de aplicativos que está em uso.

Configurar o TLS 1.2 no servidor JBoss

O TLS 1.2 é incompatível com determinadas versões do Java. Para solucionar problemas de compatibilidade, antes de ativar o TLS, consulte Resolução de problemas de compatibilidade com o TLS 1.2 com Java

Se a configuração for compatível com o TLS 1.2, execute as etapas a seguir para ativar o TLS no servidor JBoss:

  1. Configure o SSL usando o LCM.

  2.  Abra o arquivo lc_turnkey.xml no editor.

    Caminho: 

    Para o LiveCycle: <LC-install-directory>\jboss\server\lc_turnkey\deploy\jbossweb.sar\server.xml

    Para o AEM Forms: <AEM-install-directory>\jboss\standalone\configuration\lc_turnkey.xml

  3. Altere o valor do protocolo SSL para TLSv1.2, conforme mostrado abaixo:

    <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/>
    <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
    <ssl name="lc-ssl" password="password" protocol="TLSv1.2" key-alias="AEMformsCert" certificate-key-file="C:/Adobe/Adobe_Experience_Manager_Forms/jboss/standalone/configuration/aemformses.keystore" />
    </connector>
  4. Reinicie o servidor.

Etapas para verificar se o navegador está usando o TLS atualizado

  1. Abra a página adminui segura no Firefox:

    URL: https://<server>:<port>/adminui

  2. Clique no ícone de cadeado verde à esquerda da URL e, em seguida, clique no botão > Mais informações.

    É possível ver a versão do TLS abaixo dos detalhes técnicos. 

Solução de problemas de compatibilidade do TLS 1.2/ATS com o Java:

Se estiver usando o JBoss Turnkey, que acompanha o Oracle Java 6, atualização 26 ou atualização 31, ou se você instalou manualmente o Oracle Java 6:

  • Se tiver o LiveCycle ES4 ou anterior:
    • Use um proxy, como o proxy do Apache. Veja as etapas acima.

Se estiver usando o JBoss Turnkey, que acompanha o Oracle Java 6, atualização 26 ou atualização 31, ou se você instalou manualmente o Oracle Java 6:

  • Se tiver o LiveCycle ES4 ou anterior:
    • Use um proxy, como o proxy do Apache. Veja as etapas acima.

Configurar o TLS 1.2 no servidor WebLogic

O TLS 1.2 é incompatível com determinadas versões do Java. Para solucionar problemas de compatibilidade, antes de ativar o TLS, consulte Resolução de problemas de compatibilidade do TLS 1.2 com Java

Se a configuração é compatível com o TLS 1.2, execute as etapas a seguir para ativar o TLS no servidor WebLogic:

  1. Para configurar o SSL, consulte Configuração do SSL para o servidor WebLogic

  2. Reinicie todos os servidores.

  3. Em Configurações de domínio, clique na aba Servidores > [Servidor gerenciado] > Configuração > Início do servidor.

  4. Na caixa Argumentos, adicione -Dweblogic.security.SSL.protocolVersion=TLSV1.2.

  5. Clique em Salvar

Etapas para verificar se o navegador está usando o TLS atualizado

  1. Abra a página adminui segura no Firefox:

    URL: https://<server>:<port>/adminui

  2. Clique no ícone de cadeado verde à esquerda da URL, clique no botão > Mais informações.

    É possível ver a versão do TLS abaixo dos detalhes técnicos. 

Verifique a conformidade com o ATS usando o SSL Labs ou uma máquina Mac. As etapas para verificar a conformidade com o ATS são mencionadas acima. 

Solução de problemas de compatibilidade do TLS 1.2/ATS com o Java:

Se tiver o WebLogic 10.xx com Jrockit Java 6 R28 instalado:

  • Use um proxy, como o proxy do Apache. Veja as etapas acima.

Configurar SSL/TLS 1.2 no WebSphere Application Server

O TLS 1.2 é incompatível com determinadas versões do Java. Para solucionar problemas de compatibilidade, antes de ativar o TLS, consulte Resolução de problemas de compatibilidade do TLS 1.2 com Java

Se a configuração é compatível com o TLS 1.2, execute as etapas a seguir para configurar o TLS no WebSphere Application Server:

  1. Reinicie o servidor. 

  2. Para configurar SSL com TLS, consulte as etapas em Configuração do WebSphere Application Server para suportar o TLS 1.2.

  3. Reinicie o servidor. 

Etapas para verificar se o navegador está usando o TLS atualizado

  1. Abra a página adminui segura no Firefox:

    URL: https://<server>:<port>/adminui

  2. Clique no ícone de cadeado verde à esquerda da URL, clique no botão > Mais informações.

    É possível ver a versão do TLS abaixo dos detalhes técnicos. 

Verifique a conformidade com o ATS usando o SSL Labs ou uma máquina Mac. As etapas para verificar a conformidade com o ATS são mencionadas acima. 

Resolução de problemas de compatibilidade do TLS 1.2 com o Java:

Se estiver usando o WebSphere Application Server 7.0.0.x e o IBM Java 6 estiver instalado:

  • Atualize o WebSphere Application Server para 7.0.0.35 e atualize o IBM Java 6.
  • Adicionar provedor bouncy castle (1.5.4)
  • Ative as cifras de ECDHE no WebSphere:
    1. Efetue login no Console de soluções integradas do WebSphere Application Server.
    2. Navegue até Segurança > Certificado SSL e gerenciamento de chaves > Configurações SSL > NodeDefaultSSLSettings > Qualidade de proteção (configurações de QoP). 
    3. Especifique os grupos de conjuntos de cifras como personalizados e adicione as cifras ECDHE apropriadas.
    4. Salve e reinicie o servidor.

Se você está usando o WebSphere Application Server 8.0.0.x e tem o IBM WebSphere Java SDK 1.6 instalado: 

  • Atualizar o WebSphere Application Server para 8.0.0.10
  • Atualizar Java
    O grupo de conjuntos de cifras fortes possui cifras ECDHE por padrão.
  • Ative o TLS 1.2 e reinicie o servidor. 

Se você está usando o WebSphere Application Server 8.xxx com o IBM J9 Virtual Machine (compilação 2.6 e 2.7, JRE 1.7.0) instalado:

  • Adicionar provedor bouncy castle (1.5.4). Execute as etapas a seguir para adicionar o Provedor bouncy castle (1.5.4) no arquivo de segurança Java:
    1. Copie o jar do provedor bouncy castle para a pasta JDK sob a instalação do servidor.  Por exemplo: C:\Adobe\Adobe LiveCycle ES4\Java\jdk1.6.0_31\jre\lib\ext.
      clique aqui para baixar o arquivo jar.
    2. Atualize o arquivo de configuração em $JAVA_HOME/jre/lib/security/java.security
      com a entrada:
      security.provider.N=org.bouncycastle.jce.provider.BouncyCastleProvider
      (substitua N pelo próximo número lógico)
      Não instaleo Provedor bouncy castle 1.5.5 devido a um problema de login conhecido. 
Observação:

Adicione o bouncy castle somente se não vir as cifras necessárias na lista de cifras que aparece no console de administração. 

  • Ative as cifras de ECDHE no WebSphere:

    1. Efetue login no Console de soluções integradas do WebSphere Application Server.
    2. Navegue até Segurança > Certificado SSL e gerenciamento de chaves > Configurações SSL > NodeDefaultSSLSettings > Qualidade de proteção (configurações de QoP). 
    3. Especifique os grupos de conjuntos de cifras como personalizados e adicione as cifras ECDHE apropriadas.
    4. Salve e reinicie o servidor.

Receba ajuda com mais rapidez e facilidade

Novo usuário?