Conjuntos de criptografia TLS

Um conjunto de criptografia é um conjunto de algoritmos usados para criptografar a comunicação de rede. Os usuários do Qlik NPrinting podem personalizar a lista de conjuntos de criptografia para remover aqueles considerados não seguros por seu protocolo de segurança.

O Qlik NPrinting não define um conjunto de criptografia de segurança específico como obrigatório, para garantir a compatibilidade com diferentes sistemas operacionais e plataformas.

O novo parâmetro de configuração do proxy tls.ciphersuites permite gerenciar um conjunto personalizado de conjuntos de criptografia no proxy do Qlik NPrinting.

Os arquivos de configuração de proxy são:

• %ProgramData%\NPrinting\webconsoleproxy\app.conf
• %ProgramData%\NPrinting\newsstandproxy\app.conf

Esses arquivos contêm a lista de propriedades de configuração personalizáveis, todas comentadas por padrão. Esses arquivos não mudam quando você atualiza para novas versões do Qlik NPrinting. Portanto, essa propriedade de configuração não é imediatamente visível quando você atualiza de versões mais antigas. Isso garante que você não perca suas configurações.

Limitações

O proxy do Qlik NPrinting oferece suporte a um conjunto limitado de conjuntos de criptografia. A lista pode mudar após uma atualização do produto para incluir novos algoritmos ou desaprovar outros.

Alguns dos conjuntos de criptografia suportados são considerados TLS 1.2 não protegidos pelo protocolo HTTP/2. Eles devem ser colocados na lista de valores personalizados após qualquer criptografia não em lista negra. Caso contrário, o proxy não poderá ser iniciado e você verá este erro:

"http2: TLSConfig.CipherSuites index %index% contains an HTTP/2-approved cipher suite (%ciphername%), but it comes after unapproved cipher suites."

Com essa configuração, os clientes que não oferecem suporte para conjuntos de criptografia aprovados anteriormente podem receber um conjunto não aprovado e rejeitar a conexão.

Observe que %index% e %ciphername% são variáveis que mostrarão:

• %index%: o nome do índice.
• %ciphername%: o nome do conjunto de criptografia que causou o problema.

O conjunto de criptografia TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (HTTP/2 RFC necessário) ou TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (para oferecer suporte a servidores somente do ECDSA) são obrigatórios. Caso contrário, o proxy não poderá ser iniciado, e você verá este erro:

Conjuntos de criptografia compatíveis:

Acessando a lista personalizada de conjuntos de criptografia

Faça o seguinte:

1. Pare o serviço QlikNPrintingWebEngine.
2. Para personalizar o Qlik NPrinting web console, abra webconsoleproxy\app.conf. Para personalizar o NewsStand, abra newsstandproxy\app.conf.
3. Remova o comentário ou adicione tls.ciphersuites.
4. Insira a lista separada por vírgula de conjuntos de criptografia para oferecer suporte como valor do mais para o menos preferido.
5. Salve o arquivo.
6. Reinicie o serviço QlikNPrintingWebEngine.

Exemplo

Defina apenas os conjuntos de criptografia considerados seguros pelo padrão RFC 7540.