Suites de chiffrement TLS

Une suite de chiffrement est un ensemble d'algorithmes utilisé pour chiffrer les communications réseau. Les utilisateurs Qlik NPrinting peuvent personnaliser la liste des suites de chiffrement afin de supprimer les suites que leur protocole de sécurité considère comme non sécurisées.

Qlik NPrinting ne définit pas de suite de chiffrement sécurisée obligatoire, afin de garantir la compatibilité avec différents systèmes d'exploitation et plates-formes.

Le nouveau paramètre de configuration proxy tls.ciphersuites vous permet de gérer un ensemble personnalisé de suites de chiffrement dans le proxy Qlik NPrinting.

Les fichiers de configuration du proxy sont les suivants :

  • %ProgramData%\NPrinting\webconsoleproxy\app.conf
  • %ProgramData%\NPrinting\newsstandproxy\app.conf

Ces fichiers incluent la liste des propriétés de configuration personnalisables, toutes mises en commentaire par défaut. Ces fichiers restent inchangés lorsque vous mettez à niveau Qlik NPrinting vers de nouvelles versions. Par conséquent, cette propriété de configuration n'est pas immédiatement visible lorsque vous procédez à une mise à niveau à partir d'une ancienne version. De cette façon, vous êtes assuré de ne pas perdre vos paramètres.

Limitations

Le proxy Qlik NPrinting prend en charge un ensemble limité de suites de chiffrement. La liste est susceptible d'être modifiée après une mise à niveau du produit afin de prendre en compte de nouveaux algorithmes ou d'en déprécier d'autres.

Certaines suites de chiffrement prises en charge sont considérées non sécurisées TLS 1.2 par le protocole HTTP/2. Elles doivent être placées dans la liste des valeurs personnalisées après les éventuels chiffrements non mis en liste noire. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :

"http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%) ». Ce message d'erreur s'affiche toutefois après les suites de chiffrement non approuvées.

Dans cette configuration, les clients qui ne prennent pas en charge les suites de chiffrement approuvées précédentes peuvent obtenir une suite non approuvée et rejeter la connexion.

Vous noterez que les éléments %index% et %ciphername% sont des variables affichant les informations suivantes :

  • %index% : nom de l'index.
  • %ciphername% : nom de la suite de chiffrement à l'origine du problème.

La suite de chiffrement TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC obligatoire) ou TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (pour prendre en charge les serveurs strictement ECDSA) sont obligatoires. Sinon, il est impossible de démarrer le proxy et l'erreur suivante s'affiche :

http2: TLSConfig.CipherSuites is missing an HTTP/2-required AES_128_GCM_SHA256 cipher.

Suites de chiffrement prises en charge :

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
// RC4-based cipher suites are disabled by default
TLS_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
// black-listed by default
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Accès à la liste de suites de chiffrement personnalisées

Procédez comme suit :

  1. Arrêtez le service QlikNPrintingWebEngine.
  2. Pour personnaliser Qlik NPrinting web console, ouvrez webconsoleproxy\app.conf. Pour personnaliser NewsStand, ouvrez newsstandproxy\app.conf.
  3. Supprimez les marques de commentaire ou ajoutez tls.ciphersuites.
  4. Saisissez la liste des suites de chiffrement à prendre en charge comme valeur en classant les suites par ordre de préférence décroissant et en les séparant par des virgules.
  5. Enregistrez le fichier.
  6. Redémarrez le service QlikNPrintingWebEngine.

Exemple

Définissez uniquement les suites de chiffrement considérées comme sécurisées par la norme RFC 7540.

# set a custom set of supported ciphersuites ordered from most to least preferred
tls.ciphersuites = "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"