مهم: از 1 می 2025، Salesforce مبادلات کلید RSA را برای اتصالات TLS حذف خواهد کرد.
نیروی فروش در حال افزایش است امنیت لایه حمل و نقل اقدامات (TLS) برای مشتریان. شروع ، 1 مه 2025، Salesforce دیگر پشتیب، نخواهد کرد مبادلات کلید RSA برای همه اتصالات TLS ورودی. TLS 1.3 به پروتکل ارجح برای Salesforce تبدیل خواهد شد، اما TLS 1.2 همچنان پشتیب، می شود زیرا شرایط لازم را برآورده می کند. رازداری کامل به جلو (PFS). این تصمیم بخشی از تلاش گستردهتر برای حذف تدریجی روشهای رمزگذاری قدیمی مطابق با استانداردهای صنعت است. در اینجا نحوه آماده سازی مشتریان برای انتقال آینده آمده است.
برای برقراری اتصالات شبکه ایمن، TLS از مبادلات کلیدی در طول زمان استفاده می کند فرآیند دست دادن. از لحاظ تاریخی، TLS امکان انتخاب کلیدهای RSA ثابت یا کلیدهای منحنی بیضوی Diffie-Hellman Ephemeral (ECDHE) را برای این تبادل داده است. با این حال، هنگام استفاده از کلیدهای RSA باید از چند خطر آگاه باشید. سیستم های رمزگذاری قدیمی اغلب دارای آسیب پذیری هایی هستند که منجر به افزایش خطر می شود نقض داده ها، حملات brute force، و حملات Man-in-the-Middle (MITM). برای ،ب اطلاعات بیشتر در مورد رمزگذاری، این مقاله در مورد رمزگذاری داده چیست و چگونه کار می کند را بررسی کنید.
بنابراین، چرا Salesforce به TLS 1.3 می رود؟ شروع از سپتامبر 2024، NIST توصیه می کند که برنامه ها از TLS 1.3 به دلیل ویژگی های امنیتی پیشرفته و توانایی آن برای پشتیب، از رمزنگاری پس کوانتومی پشتیب، کنند. به ،وان بخشی از تلاشهای مداوم ما برای حذف تکنیکهای رمزگذاری قدیمی، استفاده از کلیدهای RSA را به نفع TLS 1.3 متوقف میکنیم.
پیاده سازی Salesforce از TLS 1.3 برای اتصالات ورودی به Hyperforce و سازمان هایی با استفاده از Salesforce Edge Network یک پیشرفت قابل توجه در امنیت است که رمزگذاری بهبود یافته را ارائه می دهد.
این فرآیند جدید تضمین می کند که داده های منتقل شده بین مشتریان و Salesforce ایمن تر است و خطر رهگیری یا دسترسی غیرمجاز را کاهش می دهد:
- همیشه در حال تغییر کلیدهای امنیتی: TLS 1.3 با تغییر کلیدها برای هر جلسه، امنیت را بهبود می بخشد، که در برابر حملات MITM و brute force محافظت می کند. با استفاده از یک کلید رمزگذاری منحصر به فرد برای هر جلسه، تأثیر یک اعتبار به خطر افتاده تنها به آن جلسه محدود می شود.
- عملکرد بهبود یافته: به طور معمول، دست دادن شامل تأیید و توافقات متقابل برای ایجاد ارتباطات ایمن بین مشتریان و سرورها است. پروتکل TLS 1.3 فرآیند دست دادن را برای کاهش تأخیر (فقط به یک رفت و برگشت به جای دو مورد نیاز دارد) و سربار را ساده می کند، که می تواند منجر به عملکرد بهتر و تجربه کاربری بهتر شود.
مشتریان همچنان میتوانند از TLS 1.2 با مجموعههای رمز سازگار استفاده کنند. Sales Cloud، Service Cloud، و Experience Cloud از TLS 1.3 برای همه اتصالات پشتیب، میکنند و امنیت بیشتری را برای آن تعاملات در هنگام استفاده از TLS 1.3 فراهم میکنند.
مراحل بعدی برای مشتریان Salesforce
برای اطمینان از انتقال روان و حفظ سازگاری با خدمات Salesforce، مشتریان باید برخی تنظیمات را در محیط نرم افزاری خود، به ویژه در مورد استاندارد رمزگذاری پیشرفته (AES). این به جلوگیری از اختلالات احتمالی در اتصالات شبکه کمک می کند.
مرحله 1: از سازگاری با رمزگذاری AES اطمینان حاصل کنید
اگر از Sales Cloud، Service Cloud یا Experience Cloud استفاده می کنید، باید رمزگذاری خود را به درستی پیکربندی کنید تا مطمئن شوید که با محیط نرم افزار شما سازگار است. مشتریان می توانند از دو گزینه برای اطمینان از ایمن و به روز بودن سیستم های شما قبل از حرکت به جلو انتخاب کنند:
- گزینه 1: مجموعه رمزهای خود را بررسی کنید – مطمئن شوید که محیط نرم افزار شما از رمزگذاری AES با کلیدهای 128 بیتی یا 256 بیتی با استفاده از تبادل کلید ECDHE پشتیب، می کند.
- استفاده از حالت شمارنده Galois (GCM): در صورت موجود بودن، آن را انتخاب کنید GCM حالت رمز را مسدود کنید این یک روش مدرن و امن برای رمزگذاری داده های شما است.
- گزینه 2: گزینه بازگشتی – اگر محیط نرم افزار شما از GCM پشتیب، نمی کند، می تو،د از آن استفاده کنید زنجیره بلوک رمز حالت (CBC) برای سازگاری. به اندازه GCM پیشرفته نیست اما داده های شما را ایمن نگه می دارد.
توجه: دور شدن از مبادلات کلید RSA همچنین به م،ای حذف تدریجی مجموعه های رمزنگاری قدیمی AES است که از امضاهای SHA-1 استفاده می کنند. از اول ماه مه 2025، Salesforce قصد دارد فقط از مجموعههای رمز با امضای SHA-2، 256 بیت یا 384 بیت پشتیب، کند. برای لیستی از مجموعههای رمز پشتیب، شده، لطفاً این مقاله کمکی را بخو،د.
مرحله 2: TLS 1.3 یا ECDHE را فعال کنید
اکنون که تنظیمات رمزگذاری خود را پیکربندی کرده اید، در اینجا نحوه روشن ، مبادلات کلید TLS 1.3 یا ECDHE آورده شده است. ما از مشتریان می خواهیم که تبادل کلید TLS 1.3 یا ECDHE را برای این تغییر آتی تا 1 مه 2025 فعال کنند.. TLS 1.3 ترجیح داده می شود. هنگامی که برای فعال ، TLS 1.3 یا ECDHE آماده شدید، این مراحل را دنبال کنید:
- مرحله 1: TLS 1.3 یا ECDHE را در محیط نرم افزار خود روشن کنید تا با این تغییر جدید سازگار شوید. برو سراغ خودت تاریخچه ورود برای ایجاد یک نمای فهرست سفارشی برای نشان دادن ورود به سیستم در جایی که TLS Cipher Suite حاوی “ECDHE” نیست اما از “TLSv1.2” (نشان داده شده در تصویر بالا) استفاده می کند. بهراحتی، TLS 1.3 مجموعههای رمزی با استفاده از مبادلات کلید RSA ندارد. ورودهای نمایش داده شده در این نمای فهرست بعید است بعد از 1 می 2025 کار کنند.
- مرحله ۲: خود را مرور کنید تاریخچه ورود سازمان Salesforce برای اطمینان از اینکه TLS Cipher Suite فقط ورودی هایی را نشان می دهد که حاوی “ECDHE” هستند زم، که پروتکل “TLSv1.2” باشد.
- مرحله 3: هنگامی که کلیدهای RSA در محیط نرمافزار شما غیرفعال میشوند، سابقه ورود Salesforce نباید مجموعههای رمزی مانند AES256-SHA256 یا AES256-SHA را نشان دهد. همه ورود به سیستم با “TLSv1.3” به ،وان پروتکل به طور ضمنی از تبادل کلید ECDHE استفاده می کنند. توصیه میکنیم قبل از بهروزرس، تولید، این تغییر را در جعبه ایمنی آزمایش کنید. رجوع به این شود مقاله دانش برای دستورالعمل های اضافی
توجه: خاموش ، مبادلات کلید RSA ممکن است باعث اختلال در اتصالات TLS در پشت چنین ورودهایی شود. اگر با اختلال مواجه شدید، از طریق پشتیب، تماس بگیرید راهنمای نیروی فروش.
توجه: اگر مشتری GovCloud هستید، نیازی به تغییر از طرف شما نیست. برای جزئیات، نگاه کنید به نسخه های رمز و TLS پشتیب، شده برای مقاله ابری ،تی.
درباره این تغییر مهم امنیتی بیشتر بد،د
تصمیم برای منسوخ ، مبادلات کلید RSA بخشی از یک ابتکار استراتژیک برای افزایش امنیت کلی با بازنشستگی روشهای رمزگذاری قدیمی است. اگر سؤال بیشتری دارید یا در مورد فرآیند نیاز به کمک دارید، لطفاً از طریق پشتیب، با پشتیب، تماس بگیرید راهنمای نیروی فروش.
بهترین شیوه های امنیتی
اعتماد ارزش شماره 1 ماست. منابع ما را کاوش کنید تا با بهترین شیوه های امنیتی ما آشنا شوید.
منبع: https://www.salesforce.com/blog/rsa-key-exchange/